Политика в области обработки персональных данных пользователей

1 сентября 2025 года

1. Общие положения

1.1. Политика в области обработки персональных данных (далее – Политика) определяет цели, объясняет порядок и условия обработки персональных данных (ПДн), меры, направленные на защиту ПДн, а также содержит информацию о правах лиц, к которым относятся соответствующие ПДн (далее – пользователи) у индивидуального предпринимателя Князева Владимира Владимировича (693006, Россия, г. Южно-Сахалинск, ул. Ленина, 317-Б, 3-й этаж, ОГРНИП 312650119900062) (далее – предприниматель, оператор) или у его партнёров в процессе использования информационных ресурсов оператора. Данная Политика в области обработки персональных данных была утверждена индивидуальным предпринимателем Князевым Владимиром Владимировичем и введена в действие Приказом №1 от 1 сентября 2025 г.

1.2. Обработка ПДн осуществляется в случае, если пользователь использует информационные ресурсы и/или информацию с информационных ресурсов (далее – сайт/сервис) оператора:

• сайт https://edasakhalin.ru
• мобильное приложение «EdaSakhalin.ru»

1.3. В случае, если пользователь сайта/сервиса не согласен с данной Политикой полностью или в части, то пользователь обязуется не использовать сайт/сервис и находящуюся на них информацию.

1.4. Пользователь принимает решение о предоставлении своих ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Оператор не проверяет достоверность ПДн, предоставляемых пользователем.

1.5. Использование сайта/сервиса означает согласие с настоящей Политикой и условиями обработки ПДн.

1.6. Настоящая Политика принимается пользователем персональных данных только в совокупности с безоговорочным принятием использования сайта/сервиса и Пользовательского соглашения.

1.7. Принимая настоящую Политику, пользователь тем самым дает свое согласие оператору на обработку своих персональных данных, указанных в разделе 2, в том числе сбор, запись, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу третьим лицам (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

1.8. Пользователь, отказываясь от дачи согласия на обработку оператору своих персональных данных для целей, указанных в разделе 2 понимает, что он не сможет воспользоваться всеми возможностями сайта/сервиса, а использование информационного ресурса будет доступно в ограниченном режиме.

1.9. Пользователь, предоставивший ПДн не в полном объеме от требований соответствующего раздела сайта/сервиса или несоответствующих действительности, не сможет воспользоваться всеми возможностями сайта/сервиса, в том числе получение отдельных услуг, предоставляемых через информационный ресурс, а использование сайта/сервиса будет доступно в ограниченном режиме.

1.10. Обработка ПДн осуществляется в соответствии с требованиями Конституции Российской Федерации, Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федерального закона № 152-ФЗ); Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и иными нормативными правовыми актами Российской Федерации, регулирующими правоотношения в сфере обработки персональных данных.

1.11. Вопросы, не урегулированные Политикой, подлежат разрешению в соответствии с законодательством Российской Федерации.

1.12. Обработка персональных данных субъекта персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, а также без получения согласия в случаях, предусмотренных законодательством Российской Федерации.

1.13. Пользователи обязуются регулярно проверять положения настоящей Политики на предмет их изменения и/или дополнения. Пользователь считается ознакомленным и принявшим изменения в Политику, если он посещает сайт/сервис оператора или продолжил любое использование функционала сайта/сервиса предпринимателя после опубликования новой редакции Политики.

1.14. Данная Политика распространяется на ПДн, полученные как до, так и после ввода в действие настоящей Политики.

1.15. Внутренний контроль за исполнением требований Политики осуществляется предпринимателем.

1.16. Термины, используемые в Политике:

• Сайт – информационный ресурс предпринимателя в сети «Интернет», доступ к которому осуществляется по доменному имени (https://edasakhalin.ru), либо с использованием мобильного приложения.
• Сервис — любой информационный ресурс, в интерфейсе и / или пользовательских документах которого указано, что его функционал предоставляется предпринимателем, за исключением сайта. В интерфейсе сервиса доступны пользовательские документы сервиса, а также может быть размещен отдельный документ, определяющий особенности обработки персональных данных в сервисе.
• Пользователь – любое лицо, посещающее сайт/сервис предпринимателя и/или предоставляющее оператору свои персональные данные для использования функционала сайта/сервиса.
• Оператор информационной системы – гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.
• Предприниматель – индивидуальный предприниматель Князев Владимир Владимирович.
• Партнеры – другие компании, которые взаимодействуют с предпринимателем на основании договоров (соглашений) с целью обеспечения соответствующими услугами пользователя и улучшения/развития/техподдержки сайтов/сервисов оператора.
• Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
• Субъект персональных данных — физическое лицо, прямо или косвенно определенное или определяемое на основании относящихся к нему персональных данных.
• Псевдоним (никнейм) — имя зарегистрированного пользователя на сайте/сервисе, которое пользователь указывает произвольно при регистрации.
• Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
• Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
• Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
• Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
• Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
• Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
• Файлы cookies — это небольшие файлы с данными, которые размещаются (хранятся) на устройстве пользователя, когда он посещает сайт/сервис, и могут содержать идентификатор пользователя, сведения об устройстве, браузере, версии приложения.
• IP-адрес – уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP. В Политике могут быть указаны иные термины, которые используются в значении, установленном нормативными актами Российской Федерации, документами и локальными актами предпринимателя.
• Платежный оператор – это организация, которая обеспечивает проведение платежей, устанавливая правила и контролируя работу платежной системы.
• Платежная система – это комплекс технологий, правил и инфраструктуры, который обеспечивает безналичные финансовые операции между участниками без использования наличных денег.

2. Цели обработки персональных данных

2.1 Обработка ПДн оператором осуществляется для цели предоставления функционала сайта/сервиса, в том числе:

    2.1.1. регистрация и идентификация пользователя в системе, идентификация и авторизация сотрудников партнера в личном кабинете (обеспечение доступа к функционалу личного кабинета для управления заказами, меню, отчетностью);

    2.1.2. заключение и исполнение договора с партнером;

    2.1.3. публикация информации о товарах и услугах партнеров;

    2.1.4. оформление, обработка, подтверждение заказов на услуги приготовления, купли-продажи, доставки еды, информирование пользователей о статусе заказов;

    2.1.5. связь с пользователем / партнером для информационного обслуживания и поддержки;

    2.1.6. обеспечение безопасности и соблюдения законодательства;

    2.1.7. рассылка персонализированных рекламных сообщений, соответствующих интересам пользователя.

2.2. Обработка ПДн оператором также может осуществляться для целей, указываемых в согласии на обработку персональных данных в форме сбора данных или в интерфейсе сайта/сервиса при получении такого согласия, например, для целей направления маркетинговых сообщений или для связи с пользователем по его инициативе.

2.3. Оператор, получив персональные данные пользователя, соблюдает все необходимые требования законной обработки данных и хранит ПДн в безопасности. ПДн используются оператором только в тех целях, для которых пользователь предоставил их оператору.

3. Правовая основа обработки персональных данных

3.1. Оператор обрабатывает ПДн пользователя только с согласия субъекта персональных данных на обработку его персональных данных, которое субъект предоставляет активным действием, в том числе проставляя отметку о согласии в форме сбора данных и / или в интерфейсе при получении такого согласия.

3.2. Без согласия субъекта ПДн оператор осуществляет обработку персональных данных в случаях:

• обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с законом;
• осуществляется обработка ПДн, доступ, к которым предоставлен субъектом ПДн или по его просьбе, сделанными общедоступными субъектом ПДн неограниченному кругу лиц;
• судебные акты, акты другого органа или должностного лица, подлежащие исполнению оператором в соответствии с положениями законодательства РФ;
• обеспечение и/или осуществление защиты жизни, здоровья или иных жизненно важных интересов пользователя, если получение согласия субъекта ПДн невозможно;
• в иных случаях, предусмотренных законом.

3.3. Обработка персональных данных оператором осуществляется на основе следующих принципов:

• законности и справедливости;
• ограничения обработки ПДн достижением конкретных, заранее определенных и законных целей;
• недопущения обработки ПДн, несовместимой с целями их сбора;
• недопущения объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
• обработки только тех ПДн, которые отвечают целям их обработки;
• соответствия содержания и объема обрабатываемых ПДн заявленным целям обработки;
• недопущения обработки ПДн, избыточных по отношению к заявленным целям их обработки;
• обеспечения точности, достаточности и актуальности ПДн по отношению к целям их обработки;
• уничтожения либо обезличивания ПДн по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, а также при невозможности устранения оператором допущенных нарушений ПДн, если иное не предусмотрено законодательством РФ;
• обеспечения конфиденциальности и безопасности обрабатываемых ПДн.

3.4. Автоматическая обработка данных в целях индексации сайта поисковыми системами yandex.ru и google.com, а также учета частоты посещения страниц оператор использует службы Яндекс.Метрика, Google Analytics и технологии cookies. В момент посещения пользователем той или иной страницы сайта, браузер пользователя, выполняя сервисные коды указанных служб, передает в них информацию о факте посещения страницы, о времени посещения и времени нахождения на странице, об адресе страницы, с которой произошел переход на текущую страницу, IP-адрес, данные об аппаратных событиях, файлы cookies, сведения о местоположении, уникальные номера приложений. Обработка ПДн осуществляется для улучшения работы сайта оператора, совершенствования программных продуктов оператора, определения предпочтений пользователя, предоставления целевой информации по продуктам и услугам оператора.

4. Источники получения персональных данных

4.1. Источниками получения персональных данных, обрабатываемых оператором, являются добровольно заполненные пользователем электронные формы обратной информации на сайте/сервисе оператора.

4.2. Технические службы обрабатывают данные пользователя согласно п. 3.4 Политики.

5. Категории обрабатываемых персональных данных

5.1. Оператор обрабатывает следующие категории персональных данных пользователей:

    5.1.1. в рамках достижения целей, указанных в п. 2.1.1 Политики – уникальный логин/никнейм, пароль (для партнеров), номер телефона, одноразовый код подтверждения (для пользователей).

    5.1.2. в рамках достижения целей, указанных в п. 2.1.2 Политики –для юридических лиц / индивидуальных предпринимателей: наименование организации, ИНН, ОГРН, юридический адрес, банковские реквизиты, контактные данные представителя (Ф.И.О., должность, номер телефона);

    5.1.3. в рамках достижения целей, указанных в п. 2.1.3 Политики – номер телефона / адрес электронной почты для связи с партнером;

    5.1.4. в рамках достижения целей, указанных в п. 2.1.4 Политики – имя, фамилия, номер телефона, адрес доставки, данные платежного инструмента (банковская карта, номер, срок действия, CVV, или данные аккаунта в платежной системе). Эти данные вводятся Пользователем напрямую в защищенную страницу Платежного шлюза и обрабатываются в соответствии с политикой Платежного оператора в соответствии с PCI DSS стандартами. Оператор получает от Платежного агента только информацию, необходимую для подтверждения успешности оплаты и идентификации заказа (ID транзакции, сумма, статус, последние 4 цифры карты).

    5.1.5. в рамках достижения целей, указанных в п. 2.1.5 Политики – имя /наименование, номер телефона, адрес электронной почты, (при получении письма от пользователя на адрес предпринимателя), паспортные данные (в случаях, предусмотренных законодательством), адрес для направления ответа на письмо, обращение, иные ПДн, которые пользователь оставляет или сообщает оператору в процессе коммуникации по своему собственному желанию.

    5.1.6. в рамках достижения целей, указанных в п. 2.1.6 Политики – история действий в личном кабинете, IP-адрес (для партнеров), история заказов, IP-адрес, данные, автоматически собираемые с помощью файлов cookie и аналогичных технологий.

    5.1.7. В рамках достижения целей, указанных в п.п. 2.1.7, и п. 2.2 Политики данные, указанные в форме сбора данных и / или в тексте согласия на обработку персональных данных.

6. Порядок и условия обработки персональных данных

6.1. Оператор собирает и обрабатывает следующие виды информации:

• информацию, которую пользователь сознательно предоставил оператору в процессе использования сайта/сервиса;
• техническую информацию, автоматически собираемую программным обеспечением сайта/сервиса во время его посещения пользователем.

6.2. Техническая информация, автоматически собираемая программным обеспечением сайта/сервиса во время его посещения, включает:

• запросы пользователя сайта/сервиса;
• IP адрес;
• файлы cookies;
• идентификатор пользователя, присваиваемый сайтом/сервисом;
• посещенные страницы;
• количество посещений страниц;
• информация о перемещении по страницам сайта/сервиса (в т.ч. запись движения мыши, нажатий на ссылки и элементы сайта/сервиса);
• длительность пользовательской сессии;
• точки входа (сторонние сайты/сервисы, с которых пользователь по ссылке переходит на сайт/сервис);
• точки выхода (ссылки на сайте, по которым пользователь переходит на сторонние сайты/сервисы);
• страна пользователя;
• регион пользователя;
• часовой пояс, установленный на устройстве пользователя;
• провайдер пользователя;
• браузер пользователя;
• цифровой отпечаток браузера (canvas fingerprint);
• доступные шрифты браузера;
• установленные плагины браузера;
• параметры WebGL браузера;
• тип доступных медиа-устройств в браузере;
• наличие ActiveX;
• перечень поддерживаемых языков на устройстве пользователя;
• архитектура процессора устройства пользователя;
• ОС пользователя;
• параметры экрана (разрешение, глубина цветности, параметры размещения страницы на экране);
• информация об использовании средств автоматизации при доступе на сайт/сервис;
• дата и время посещения сайта/сервиса;
• источник перехода (UTM метка);
• значение UTM меток от source до content;
• уникальный идентификатор, присваиваемый интернет-сторонним сервисом, обеспечивающим обработку статистических данных.

К технической информации также относятся аналитические данные без идентификации субъекта персональных данных, полученные в результате использования сайтом/сервисов веб-аналитики. Данная информация используется исключительно в целях внутреннего и внешнего маркетинга – для анализа тенденций посещения сайта/сервиса и улучшения, продвижения услуг сайта/сервиса.

6.3. На устройстве, используемом пользователем для доступа на сайт/сервис, могут быть записаны файлы cookies, которые в дальнейшем будут использованы для сбора статистических данных, в частности о посещаемости сайта/сервиса, для автоматического заполнения полей в формах на сайте/сервисе. Оператор может использовать и раскрывать информацию об использовании сайта/сервиса (в том числе для определения степени использования сайта/сервиса, улучшения его контента и расширения функциональности сайта/сервиса). Принимая настоящую Политику, пользователь дает оператору свое согласие, что технические данные, указанные в п. 6.2, собираемые с сайта/сервиса, передаются по сети Интернет. Обезличенные данные пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях пользователей на сайте/сервисе, улучшения качества, продвижения услуг сайта/сервиса и его содержания.

6.4. Оператор не сохраняет ПДн в файлах cookies. Оператор использует информацию, записанную в файлах cookies, которая не идентифицирует индивидуальных пользователей, для анализа тенденций, администрирования сайта/сервиса, определения движений пользователей по сайту/сервису и для сбора демографической информации о базовом контингенте пользователей в целом.

6.5. Если пользователь не хочет, чтобы оператор собирал техническую информацию о нем с использованием файлов cookies, то пользователь обязан прекратить пользоваться сайтом/сервисом или запретить сохранение файлов cookies на своем устройстве, используемом для доступа к сайту/сервису, соответствующим образом настроив свой браузер. При этом следует иметь в виду, что сервисы информационных ресурсов, использующие данную технологию, могут оказаться недоступными.

6.6. Пользователь подтверждает свое согласие на сбор и обработку ПДн, заполняя электронную форму при регистрации на сайте/сервисе предпринимателя путем проставления галочки в чек-боксе, расположенном в соответствующей форме, и нажатия на кнопку под этой формой на сайте/сервисе.

6.7. В отношении ПДн оператор осуществляет действия (операции) или совокупность действий (операций) как с использованием средств автоматизации, так и без использования таких средств (далее – смешанный способ обработки ПДн), включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

6.8. Оператор использует смешанный способ обработки ПДн с передачей информации по внутренней локальной сети оператора и с передачей информации по информационно-телекоммуникационной сети Интернет. При обработке ПДн с использованием средств автоматизации предприниматель использует в том числе информационные технологии и технические средства, включая средства вычислительной техники, информационно-технические комплексы и сети, средства и системы передачи, приема и обработки ПДн, программные средствам (ОС, СУБД и т.п.), средства защиты информации, применяемые в информационных системах.

6.9. Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, за исключением предусмотренных законодательством РФ случаев.

6.10. Обработка ПДн осуществляется на основании условий, определенных законодательством РФ. Условия обработки отдельных категорий ПДн оператором закрепляются в том числе локальными актами оператора, регулирующими соответствующие сферы деятельности оператора.

6.11. При обработке ПДн оператор обеспечивает их точность, достаточность и в необходимых случаях актуальность по отношению к целям обработки ПДн. Оператор принимает необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных или неточных ПДн.

6.12. Оператор раскрывает обрабатываемые ПДн только на основаниях и в случаях, предусмотренных законодательством РФ.

6.13. Предприниматель может передавать ПДн пользователя своим сотрудникам, партнерам и третьим лицам, если иное не будет установлено условиями сайта/сервиса оператора. Во всех случаях персональные данные будут обрабатываться только для целей, изложенных в разделе 5.

6.14. Оператор гарантирует, что никогда не предоставляет ПДн третьим лицам, за исключением случаев, когда:

• этого прямо требует законодательство (по письменному запросу суда, контролирующих, надзорных, правоохранительных органов, дознания и следствия);
• пользователь дал согласие на передачу ПДн;
• передача необходима для заключения договоров и/или в рамках действия договоров между предпринимателем и пользователем;
• передача происходит в рамках продажи или иной передачи сайта/сервиса, бизнеса;
• передача происходит в рамках переноса базы персональных данных с одного сервиса на другой согласно договорным отношениям предпринимателя;
• партнеры, такие как владельцы сайтов и приложений, рекламные сети и другие партнеры, предоставляют предпринимателю услуги, связанные с размещением и отображением рекламы на сайте/сервисе, в программах, продуктах или сервисах, которые принадлежат таким партнерам или контролируются ими;
• рекламодатели или другие партнеры отображают для пользователя рекламу на сайте/сервисе предпринимателя, а также такие партнеры как поставщики информационных сервисов или консультанты;
• лица участвуют в организации приема платежей и проведении платежных операций пользователя с использованием сайта/сервиса (международные платежные системы, поставщики платежных инструментов, банки и иные финансовые организации и т.д.);
• это требуется для оказания поддержки обслуживания пользователей или для помощи в защите и безопасности систем оператора, в том числе при проверке благонадежности пользователя при заключении договоров с использованием сайта/сервиса.

6.15. Сроки обработки ПДн определяются в соответствии со сроком, указанным в согласии субъекта ПДн, а также в соответствии с иными требованиями законодательства РФ.

6.16. Оператор прекращает обработку ПДн в следующих случаях: достижение цели обработки ПДн; изменение, признание утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки ПДн; выявление неправомерной обработки ПДн, осуществляемой оператором; отзыв субъектом ПДн согласия на обработку его ПДн, если в соответствии с положениями Федерального закона № 152-ФЗ обработка этих ПДн допускается только с согласия субъекта ПДн; прекращение его деятельности предпринимателя.

7. Права и обязанности оператора и пользователя

7.1. Права оператора:

• собирать через формы на сайте/сервисе персональные данные;
• предоставлять доступ к сайту/сервису;
• осуществлять сбор, запись, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;
• передавать персональные данные третьим лицам на основании договоров, заключаемых для достижения целей, указанных в разделе 2 и поручений на обработку персональных данных;
• в случае отзыва пользователем согласия на обработку ПДн оператор вправе продолжить обработку персональных данных без согласия пользователя при наличии оснований, указанных в действующем законодательстве;
• отказать пользователю в выполнении повторного запроса о предоставлении сведений, относительно его персональных данных, которые обрабатываются оператором в соответствии с условиями федерального закона при предоставлении мотивированного ответа.

7.2. Обязанности оператора:

• использовать полученные персональные данные исключительно для целей, указанных в разделе 2;
• в случае утраты или разглашения конфиденциальной информации оператор не несет ответственность, если данная конфиденциальная информация: стала публичным достоянием до ее утраты или разглашения; была получена от третьей стороны до момента ее получения оператором; была разглашена с согласия пользователя;
• не раскрывать третьим лицам и не распространять ПДн без согласия пользователя, если иное не предусмотрено законодательством;
• при получении запроса субъекта ПДн на ознакомление с ПДн оператор в течение 10 дней с даты получения запроса предоставляет для ознакомления ПДн в случае осуществления обработки этих ПДн или отказывает, если обработка ПДн не ведется (срок может быть продлен на 5 рабочих дней с учетом требований п. 1 ст. 20 Федерального закона 152-ФЗ);
• в случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан в течение 10 рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя (срок может быть продлен на 5 рабочих дней с учетом требований п. 2 ст. 20 Федерального закона 152-ФЗ);
• в срок, не превышающий 7 рабочих дней со дня предоставления субъектом ПДн сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения;
• в срок, не превышающий 7 рабочих дней со дня представления субъектом ПДн сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие ПДн;
• сообщить в уполномоченный орган по защите прав субъектов ПДн по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса;
• при выявлении неправомерной обработки персональных данных при обращении/запросу субъекта ПДн либо уполномоченного органа по защите прав субъектов ПДн оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки;
• при выявлении неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц;
• при подтверждении факта неточности персональных данных оператор на основании сведений, представленных субъектом ПДн либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение 7 рабочих дней со дня представления таких сведений и снять блокирование персональных данных;
• при выявлении неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий 3 рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению оператора;
• в случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки ПДн, обязан уничтожить такие ПДн или обеспечить их уничтожение;
• при установлении факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов ПДн или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов ПДн: 1) в течение 24 часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов ПДн, по вопросам, связанным с выявленным инцидентом; 2) в течение 72 часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
• при достижении цели обработки ПДн оператор обязан прекратить обработку ПДн или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить ПДн или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами;
• в случае отзыва субъектом ПДн согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение ПДн более не требуется для целей обработки персональных данных, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами;
• в случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий 10 рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных Федеральным закон. (срок может быть продлен на 5 рабочих дней с учетом требований п. 5.1 ст. 21 Федерального закона 152-ФЗ);
• в случае отсутствия возможности уничтожения персональных данных в установленный законом срок оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами;
• разъяснить пользователю юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку, если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными;
• при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в действующем российском законодательстве.
• оператор обязан обеспечивать надежную защиту ПДн, защиту их конфиденциальности.

7.3. Права пользователя:

• вправе требовать от оператора уточнения его ПДн, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, путем направления обращения по адресу eda@sakh.dev;
• вправе запрашивать сведения о мерах, предпринимаемых оператором для защиты ПДн;
• вправе направить запрос оператору относительно своих персональных данных, которые обрабатываются оператор, путем направления обращения к оператору по электронной почте eda@sakh.dev;
• вправе направить запрос оператору относительно своих персональных данных, которые обрабатываются оператором, не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом;
• вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, относительно своих персональных данных, которые обрабатываются оператор, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока 30 (тридцать) дней в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса;
• вправе направить оператору отзыв данного им согласия на обработку персональных данных, согласия на распространение персональных данных;
• имеет право на защиту своих прав и законных интересов в судебном порядке;
• имеет право на обжалование действий или бездействия оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

7.4. Обязанности пользователя:

• соответствовать понятию «пользователь», указанного в п. 1.16 Политики;
• предоставлять свои достоверные персональные данные.

8. Защита персональных данных пользователей

8.1. Предприниматель принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии с требованиями законодательства Российской Федерации и внутренними документами. Обеспечение безопасности ПДн и выполнение предпринимателем обязанностей, в соответствии с законодательством достигается, в том числе:

    8.1.1. назначение оператором ответственного за организацию обработки персональных данных;

    8.1.2. издание оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности;

    8.1.3. применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с Федеральным законом № 152-ФЗ;

    8.1.4. осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

    8.1.5. оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона № 152-ФЗ, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ;

    8.1.6. ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите ПДн, документами, определяющими политику оператора в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников.

    8.1.7. оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

8.2. Оператор при обработке ПДн обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

8.3. Обеспечение безопасности персональных данных достигается, в частности:

    8.3.1. определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

    8.3.2. применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

    8.3.3. применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

    8.3.4. применением для уничтожения персональных данных, прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;

    8.3.5. оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

    8.3.6. обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

    8.3.7. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

    8.3.8. установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

    8.3.9. контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

9. Заключительные положения

9.1. Настоящая Политика вступает в силу с момента ее утверждения индивидуальным предпринимателем Князевым Владимиром Владимировичем и действует бессрочно, до замены ее новой Политикой.

9.2. Предприниматель вправе в одностороннем порядке изменять условия Политики без предварительных уведомлений пользователя.

9.3. В случае, если по тем или иным причинам одно или несколько положений настоящей Политики будут признаны недействительными или не имеющими юридической силы, данные обстоятельства не оказывают влияния на действительность или применимость остальных положений Политики.

9.4. Сотрудники предпринимателя несут ответственность за несоблюдение требований к обработке и защите персональных данных, в том числе за разглашение или незаконное использование персональных данных, а также могут быть привлечены к гражданско-правовой, административной и уголовной ответственности в порядке, предусмотренном применимыми нормативными правовыми актами РФ.

9.5. Политика находится в свободном доступе в сети «Интернет», пользователь самостоятельно следит за изменениями, вносимых в Политику на сайтe https://edasakhalin.ru и мобильном приложении.

Скачать в pdf