ПОЛИТИКА
в отношении обработки персональных данных, обрабатываемых в информационной системе персональных данных «Altcraft Platform»
в отношении обработки персональных данных, обрабатываемых в информационной системе персональных данных «Altcraft Platform»
Дата обновления: 10.02.2026 г.
Версия: v.2.02.2026
Версия: v.2.02.2026
Содержание
- 1. Основные понятия, используемые в политике
- 2. Общие положения
- 3. Принципы и условия обработки персональных данных
- 4. Перечень и категории персональных данных
- 5. Цели, методы и основания обработки персональных данных
- 6. Поручение обработки персональных данных
- 7. Сроки обработки персональных данных
- 8. Права субъекта персональных данных
- 9. Права и обязанности Оператора и Обработчика по поручению
- 10. Права и обязанности Оператора Лицензиата и Пользователя
- 11. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований
- 12. Обеспечение безопасности персональных данных
- 13. Заключительные положения
▶️ Показать полностью основные понятия, используемые в политике
| ПОНЯТИЯ | ОПРЕДЕЛЕНИЯ |
|---|---|
| Оператор персональных данных (далее – «Оператор») | Общество с ограниченной ответственностью «АльтКрафт» (ОГРН: 1156234006862, ИНН: 6230090063, адрес местонахождения: 390000, Рязанская область, г. Рязань, ул. Каширина, д. 1, помещ. 19), самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Сведения об Операторе внесены в реестр операторов, осуществляющих обработку персональных данных, доступный на официальном сайте Роскомнадзора. |
| Лицензиат | Юридическое лицо или индивидуальный предприниматель, получивший право пользования информационной системой персональных данных «Altcraft Platform» на условиях простой (неисключительной) лицензии на основании Договора. |
| Информационная система персональных данных «Altcraft Platform» (далее – ИСПДн «Altcraft Platform») | Информационная система персональных данных, представляющая собой совокупность содержащихся в базах данных персональных данных, информационных технологий и технических средств, обеспечивающих их обработку, а также программный комплекс Оператора, включая подключаемые функциональные Модули, предоставляемый Лицензиату в режиме онлайн-доступа через сайт Оператора без необходимости скачивания дистрибутива, предназначенный для автоматизации обработки клиентских данных, построения сценариев коммуникаций по цифровым каналам и последующего предоставления аналитических отчетов. |
| Модуль | Подключаемый компонент ИСПДн «Altcraft Platform», предоставляющий дополнительный функционал, используемый Лицензиатом для автоматизации процессов обработки персональных данных, построения сценариев коммуникаций и формирования аналитических отчётов. Обработка персональных данных в Модуле осуществляется в рамках поручения Лицензиата и в соответствии с требованиями законодательства РФ о персональных данных. |
| Субъект персональных данных | Физическое лицо, персональные данные которого обрабатываются в ИСПДн «Altcraft Platform» Оператором, Лицензиатом и/или Обработчиком по поручению в целях исполнения договоров, предоставления услуг, реализации прав и обязанностей, установленных законодательством, либо на основании согласия. Субъектами персональных данных в рамках настоящей Политики являются Клиенты Лицензиата и Пользователи ИСПДн «Altcraft Platform». |
| Пользователь ИСПДн «Altcraft Platform» (далее – «Пользователь») | Сотрудник Оператора, Лицензиата либо иное доверенное лицо, уполномоченное Лицензиатом на работу в ИСПДн «Altcraft Platform» в его интересах. Пользователи обладают легитимным доступом к учетной записи Лицензиата и осуществляют обработку персональных данных Субъектов персональных данных исключительно в целях и в объеме, определенных Политикой и договором с Лицензиатом. |
| Клиент Лицензиата (далее – «Клиент») | Физическое лицо, состоящее в договорных, гражданско-правовых или иных отношениях с Лицензиатом, в том числе получающее от него товары, работы, услуги либо взаимодействующее с ним на основании соглашения, заявки, запроса или иного волеизъявления, предоставившее Лицензиату согласие на обработку своих персональных данных в установленном законодательством порядке. |
| Оператор персональных данных Лицензиат (далее – «Оператор Лицензиат») | Юридическое лицо или индивидуальный предприниматель, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных своих клиентов, которые являются Субъектами персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. |
| Обработка персональных данных | Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. |
| Обработчик по поручению | Общество с ограниченной ответственностью «АльтКрафт» (ОГРН: 1156234006862, ИНН: 6230090063, адрес местонахождения: 390000, г. Рязань, ул. Каширина, д. 1, помещ. 19), осуществляющее обработку персональных данных Субъектов персональных данных по поручению Лицензиата с согласия Субъектов персональных данных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и Политикой. |
| Персональные данные | Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных). |
| Персональные данные, разрешенные Субъектом персональных данных для распространения | Персональные данные, доступ неограниченного круга лиц к которым предоставлен Субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных Субъектом персональных данных для распространения, в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». |
| Распространение персональных данных | Действия, направленные на раскрытие персональных данных неопределенному кругу лиц. |
| Предоставление персональных данных | Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. |
| Блокирование персональных данных | Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). |
| Уничтожение персональных данных | Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. |
| Обезличивание персональных данных | Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. |
| Трансграничная передача персональных данных | Передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. |
Показать полностью
2.1. Политика в отношении обработки персональных данных, обрабатываемых в информационной системе персональных данных «Altcraft Platform» (далее – «Политика»), разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Федеральный закон №152-ФЗ»), постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
2.2. Политика разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных, направленного на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в частности, в целях защиты от несанкционированного доступа и неправомерного распространения персональных данных, обрабатываемых в ИСПДн «Altcraft Platform».
2.3. Настоящая Политика раскрывает принципы, порядок и условия обработки персональных данных Субъектов персональных данных, не являющихся сотрудниками Оператора в ИСПДн «Altcraft Platform», права и обязанности по обработке персональных данных Оператором Лицензиатом, Оператором, Обработчиком по поручению, а также права Субъектов персональных данных.
2.4. Настоящая Политика является публичным документом, отражающим систему взглядов Оператора и Обработчика по поручению по вопросам обработки персональных данных Субъектов персональных данных в ИСПДн «Altcraft Platform».
2.5. В соответствии с ч. 2 ст. 18.1 Федерального закона №152-ФЗ Политика подлежит публикации на официальном сайте Оператора: https://altcraft.com/. При этом в целях обеспечения безопасности обработки персональных данных в Политике не раскрывается детальная информация о принятых мерах по защите персональных данных в ИСПДн «Altcraft Platform», а также иная информация, использование которой неограниченным кругом лиц может нанести ущерб Оператору, Обработчику по поручению, Оператору Лицензиату или Субъектам персональных данных.
2.6. Политика распространяется на все случаи обработки персональных данных, осуществляемой с использованием ИСПДн «Altcraft Platform», независимо от того, где территориально находятся Cубъекты персональных данных или технические средства, с применением как автоматизированных, так и неавтоматизированных методов.
2.2. Политика разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных, направленного на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в частности, в целях защиты от несанкционированного доступа и неправомерного распространения персональных данных, обрабатываемых в ИСПДн «Altcraft Platform».
2.3. Настоящая Политика раскрывает принципы, порядок и условия обработки персональных данных Субъектов персональных данных, не являющихся сотрудниками Оператора в ИСПДн «Altcraft Platform», права и обязанности по обработке персональных данных Оператором Лицензиатом, Оператором, Обработчиком по поручению, а также права Субъектов персональных данных.
2.4. Настоящая Политика является публичным документом, отражающим систему взглядов Оператора и Обработчика по поручению по вопросам обработки персональных данных Субъектов персональных данных в ИСПДн «Altcraft Platform».
2.5. В соответствии с ч. 2 ст. 18.1 Федерального закона №152-ФЗ Политика подлежит публикации на официальном сайте Оператора: https://altcraft.com/. При этом в целях обеспечения безопасности обработки персональных данных в Политике не раскрывается детальная информация о принятых мерах по защите персональных данных в ИСПДн «Altcraft Platform», а также иная информация, использование которой неограниченным кругом лиц может нанести ущерб Оператору, Обработчику по поручению, Оператору Лицензиату или Субъектам персональных данных.
2.6. Политика распространяется на все случаи обработки персональных данных, осуществляемой с использованием ИСПДн «Altcraft Platform», независимо от того, где территориально находятся Cубъекты персональных данных или технические средства, с применением как автоматизированных, так и неавтоматизированных методов.
Показать полностью
3.1. Обработка персональных данных в ИСПДн «Altcraft Platform» осуществляется на основе принципов:
✔ законности и справедливости целей и способов обработки персональных данных;
✔ соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных Оператором Лицензиатом, а также полномочиям Оператора и Обработчика по поручению;
✔ соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
✔ достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
✔ недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
✔ хранения персональных данных в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
✔ уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.
3.2. Обработка персональных данных в ИСПДн «Altcraft Platform» осуществляется на основании требований и условий, определённых законодательством Российской Федерации в области защиты персональных данных.
3.3. Обработчик по поручению осуществляет обработку персональных данных Субъектов персональных данных исключительно по поручению Оператора Лицензиата.
3.4. Оператор/Обработчик по поручению вправе поручить обработку персональных данных третьим лицам с согласия Субъектов персональных данных, если иное не предусмотрено действующим законодательством, на основании заключаемых договоров с такими третьими лицами. Все третьи лица обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные настоящей Политикой и законодательством Российской Федерации.
3.5. В случае, если Оператор (ООО «АльтКрафт») поручает обработку персональных данных третьим лицам (Обработчикам) на основании заключённого договора или иного правового акта, ответственность перед Субъектом персональных данных за действия (бездействие) таких лиц, повлекшие нарушение прав Субъекта, несёт Оператор, как лицо, организующее и контролирующее обработку. Оператор отвечает перед Субъектом персональных данных, а Обработчики несут ответственность перед Оператором за соблюдение обязательств, связанных с порученной обработкой.
3.6. Обработка персональных данных в ИСПДн «Altcraft Platform» осуществляется с применением современных технических, программных и организационных мер, обеспечивающих защиту данных от несанкционированного доступа, утраты, искажения, копирования, распространения и иных неправомерных действий.
3.7. Оператор/Обработчик по поручению обеспечивает реализацию прав Субъектов персональных данных, включая право на доступ к своим данным, их корректировку, блокирование, удаление, а также отзыв согласия на обработку персональных данных в порядке, установленном законодательством.
3.8. Оператор/Обработчик по поручению как правообладатель ИСПДн «Altcraft Platform» применяет принцип минимизации данных – сбор и хранение персональных данных ограничивается исключительно теми сведениями, которые необходимы для достижения конкретных, заранее определенных и законных целей обработки персональных данных Операторами Лицензиатами.
3.9. В случае трансграничной передачи персональных данных, осуществляемой в рамках работы ИСПДн «Altcraft Platform», применяются дополнительные меры защиты, соответствующие требованиям законодательства Российской Федерации, в том числе меры по обеспечению безопасности и контроля передачи данных.
✔ законности и справедливости целей и способов обработки персональных данных;
✔ соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных Оператором Лицензиатом, а также полномочиям Оператора и Обработчика по поручению;
✔ соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
✔ достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
✔ недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
✔ хранения персональных данных в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
✔ уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.
3.2. Обработка персональных данных в ИСПДн «Altcraft Platform» осуществляется на основании требований и условий, определённых законодательством Российской Федерации в области защиты персональных данных.
3.3. Обработчик по поручению осуществляет обработку персональных данных Субъектов персональных данных исключительно по поручению Оператора Лицензиата.
3.4. Оператор/Обработчик по поручению вправе поручить обработку персональных данных третьим лицам с согласия Субъектов персональных данных, если иное не предусмотрено действующим законодательством, на основании заключаемых договоров с такими третьими лицами. Все третьи лица обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные настоящей Политикой и законодательством Российской Федерации.
3.5. В случае, если Оператор (ООО «АльтКрафт») поручает обработку персональных данных третьим лицам (Обработчикам) на основании заключённого договора или иного правового акта, ответственность перед Субъектом персональных данных за действия (бездействие) таких лиц, повлекшие нарушение прав Субъекта, несёт Оператор, как лицо, организующее и контролирующее обработку. Оператор отвечает перед Субъектом персональных данных, а Обработчики несут ответственность перед Оператором за соблюдение обязательств, связанных с порученной обработкой.
3.6. Обработка персональных данных в ИСПДн «Altcraft Platform» осуществляется с применением современных технических, программных и организационных мер, обеспечивающих защиту данных от несанкционированного доступа, утраты, искажения, копирования, распространения и иных неправомерных действий.
3.7. Оператор/Обработчик по поручению обеспечивает реализацию прав Субъектов персональных данных, включая право на доступ к своим данным, их корректировку, блокирование, удаление, а также отзыв согласия на обработку персональных данных в порядке, установленном законодательством.
3.8. Оператор/Обработчик по поручению как правообладатель ИСПДн «Altcraft Platform» применяет принцип минимизации данных – сбор и хранение персональных данных ограничивается исключительно теми сведениями, которые необходимы для достижения конкретных, заранее определенных и законных целей обработки персональных данных Операторами Лицензиатами.
3.9. В случае трансграничной передачи персональных данных, осуществляемой в рамках работы ИСПДн «Altcraft Platform», применяются дополнительные меры защиты, соответствующие требованиям законодательства Российской Федерации, в том числе меры по обеспечению безопасности и контроля передачи данных.
4.1. Персональные данные, обрабатываемые в ИСПДн «Altcraft Platform», включают любую информацию, относящуюся прямо или косвенно к определённому или определяемому физическому лицу (Субъекту персональных данных), полученную в результате использования платформы Лицензиатом.
4.2. Состав и категории персональных данных, подлежащих обработке, определяются в зависимости от целей обработки, установленных Лицензиатом, как оператором персональных данных. Обработка осуществляется исключительно в объеме, необходимом для реализации этих целей.
4.3. В ИСПДн «Altcraft Platform» обрабатываются следующие виды персональных данных:
4.2. Состав и категории персональных данных, подлежащих обработке, определяются в зависимости от целей обработки, установленных Лицензиатом, как оператором персональных данных. Обработка осуществляется исключительно в объеме, необходимом для реализации этих целей.
4.3. В ИСПДн «Altcraft Platform» обрабатываются следующие виды персональных данных:
| Категория субъекта персональных данных | Перечень обрабатываемых персональных данных |
|---|---|
| Пользователи | – фамилия, имя, отчество; – адрес электронной почты; – номер телефона; – наименование компании; – технические и идентификационные данные: IP-адрес, логины, история входов, действия в системе. |
| Клиенты | – фамилия, имя, отчество; – дата рождения (при наличии); – пол (при наличии); – контактная информация (адрес электронной почты, номер телефона, идентификаторы); – идентификаторы, используемые в цифровых системах (cookie, IP-адрес, идентификаторы устройств и пользователей в программных системах и пр.); – сведения о поведении в информационных ресурсах Лицензиата (действия на сайте, время посещения, переходы, взаимодействия с контентом); – сведения о заказах, покупках, взаимодействии с продуктами и услугами; – сведения, полученные в результате профилирования и автоматизированной обработки (в том числе сегменты, персональные рекомендации, прогнозы поведения); |
4.4. В ИСПДн «Altcraft Platform» не обрабатываются специальные категории персональных данных, включая сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, а также данные, касающиеся интимной жизни субъектов персональных данных.
4.5. В ИСПДн «Altcraft Platform» не обрабатываются биометрические персональные данные, представляющие собой сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для идентификации субъектов персональных данных.
4.6. Персональные данные могут относиться к следующим:
● Общие персональные данные, предусмотренные ст. 6 и 9 Федерального закона № 152-ФЗ;
● Иные персональные данные, обрабатываемые Лицензиатом в зависимости от специфики его деятельности и полученные от Субъекта персональных данных законным способом.
4.7. В случае если Лицензиат, нарушая условия лицензионного договора и настоящей Политики, осуществляет загрузку или обработку специальных или биометрических персональных данных, Оператор и/или Обработчик категориям по поручению вправе прекратить такую обработку, ограничить доступ к ИСПДн «Altcraft Platform» и уничтожить соответствующие данные, уведомив об этом Лицензиата в течение 5 (пяти) рабочих дней с момента выявления нарушения.
4.5. В ИСПДн «Altcraft Platform» не обрабатываются биометрические персональные данные, представляющие собой сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для идентификации субъектов персональных данных.
4.6. Персональные данные могут относиться к следующим:
● Общие персональные данные, предусмотренные ст. 6 и 9 Федерального закона № 152-ФЗ;
● Иные персональные данные, обрабатываемые Лицензиатом в зависимости от специфики его деятельности и полученные от Субъекта персональных данных законным способом.
4.7. В случае если Лицензиат, нарушая условия лицензионного договора и настоящей Политики, осуществляет загрузку или обработку специальных или биометрических персональных данных, Оператор и/или Обработчик категориям по поручению вправе прекратить такую обработку, ограничить доступ к ИСПДн «Altcraft Platform» и уничтожить соответствующие данные, уведомив об этом Лицензиата в течение 5 (пяти) рабочих дней с момента выявления нарушения.
5.1. Обработка персональных данных Субъектов персональных данных в ИСПДн «Altcraft Platform» – Клиентов осуществляется Обработчиком по поручению для следующих целей:
● формирования, ведения и управления базами данных клиентов;
● создания и актуализации клиентских профилей;
● автоматизации и оптимизации бизнес-процессов Лицензиата;
● построения единого клиентского профиля на основе различной информации;
● сегментации клиентской базы, создания целевых аудиторий;
● анализа клиентского поведения, построения отчетности и прогнозирования;
● организации и проведения маркетинговых, информационных и рекламных кампаний, включая рассылки через Email, SMS, мессенджеры, push-уведомления и другие цифровые каналы;
● исполнения обязательств по договорам с клиентами.
5.2. Обработка персональных данных Субъектов персональных данных в ИСПДн «Altcraft Platform» – Пользователей осуществляется Оператором для следующих целей:
● создание и администрирование учётных записей в ИСПДн «Altcraft Platform»;
● предоставление доступа к сервисам, настройкам и функционалу платформы;
● ведение внутренней технической и статистической отчётности;
● выполнение условий договоров с Лицензиатом;
● оказание технической поддержки и сопровождения;
● обеспечение информационной безопасности и предотвращение несанкционированного доступа;
● для выполнения Оператором договорных обязательств перед Лицензиатом.
5.3. Основаниями обработки персональных данных являются:
✔ получение согласия субъекта персональных данных на обработку его персональных данных, в том числе с использованием средств автоматизации;
✔ заключение и исполнение договора, стороной которого является субъект персональных данных;
✔ исполнение обязанностей, возложенных законодательством Российской Федерации;
✔ реализация прав и законных интересов Оператора, при условии, что при этом не нарушаются права и свободы Субъектов персональных данных.
5.4. Обработка персональных данных Субъектов персональных данных – клиентов Лицензиата и Пользователей Оператором/Лицензиатом осуществляется с использованием средств автоматизации и включает в себя следующие методы, применяемые в ИСПДн «Altcraft Platform»:
● формирования, ведения и управления базами данных клиентов;
● создания и актуализации клиентских профилей;
● автоматизации и оптимизации бизнес-процессов Лицензиата;
● построения единого клиентского профиля на основе различной информации;
● сегментации клиентской базы, создания целевых аудиторий;
● анализа клиентского поведения, построения отчетности и прогнозирования;
● организации и проведения маркетинговых, информационных и рекламных кампаний, включая рассылки через Email, SMS, мессенджеры, push-уведомления и другие цифровые каналы;
● исполнения обязательств по договорам с клиентами.
5.2. Обработка персональных данных Субъектов персональных данных в ИСПДн «Altcraft Platform» – Пользователей осуществляется Оператором для следующих целей:
● создание и администрирование учётных записей в ИСПДн «Altcraft Platform»;
● предоставление доступа к сервисам, настройкам и функционалу платформы;
● ведение внутренней технической и статистической отчётности;
● выполнение условий договоров с Лицензиатом;
● оказание технической поддержки и сопровождения;
● обеспечение информационной безопасности и предотвращение несанкционированного доступа;
● для выполнения Оператором договорных обязательств перед Лицензиатом.
5.3. Основаниями обработки персональных данных являются:
✔ получение согласия субъекта персональных данных на обработку его персональных данных, в том числе с использованием средств автоматизации;
✔ заключение и исполнение договора, стороной которого является субъект персональных данных;
✔ исполнение обязанностей, возложенных законодательством Российской Федерации;
✔ реализация прав и законных интересов Оператора, при условии, что при этом не нарушаются права и свободы Субъектов персональных данных.
5.4. Обработка персональных данных Субъектов персональных данных – клиентов Лицензиата и Пользователей Оператором/Лицензиатом осуществляется с использованием средств автоматизации и включает в себя следующие методы, применяемые в ИСПДн «Altcraft Platform»:
| Методы обработки | Данные клиентов Лицензиата | Данные Пользователей ИСПДн | Значение |
|---|---|---|---|
| Сбор | ✔ | ✔ | Первичное получение данных от субъектов ПДн |
| Получение | ✔ | ✔ | Прямое получение данных от Пользователя, включая автоматическую загрузку, импорт данных |
| Запись | ✔ | ✔ | Фиксация данных в ИСПДн |
| Систематизация | ✔ | ✔ | Организация и структурирование данных |
| Накопление | ✔ | ✔ | Хранение данных для последующего использования |
| Хранение | ✔ | ✔ | Долговременное сохранение данных |
| Уточнение (обновление, изменение) | ✔ | ✔ | Корректировка устаревшей или неточной информации |
| Использование | ✔ | ✔ | Применение данных для целей обработки |
| Распространение | ✔ | Передача данных третьим лицам по договору при наличии оснований по запросу | |
| Извлечение | ✔ | ✔ | Извлечение данных для анализа или отчетности использования ИСПДн |
| Обезличивание | ✔ | ✔ | Исключение идентифицирующих признаков для анализа использования ИСПДн |
| Удаление | ✔ | ✔ | Удаление данных из ИСПДн по истечении сроков или по запросу |
| Уничтожение | ✔ | ✔ | Физическое уничтожение данных |
5.5. Не допускается обработка персональных данных Субъектов персональных данных, несовместимая с целями сбора таких персональных данных Оператором Лицензиатом, Оператором и/или Обработчиком по поручению.
5.6. В соответствии с Федеральным законом РФ от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации» и Федерального закона №152-ФЗ, ИСПДн «Altcraft Platform» не относится к государственным информационным системам персональных данных.
5.6. В соответствии с Федеральным законом РФ от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации» и Федерального закона №152-ФЗ, ИСПДн «Altcraft Platform» не относится к государственным информационным системам персональных данных.
6.1. Обработка персональных данных в ИСПДн «Altcraft Platform» осуществляется Обработчиком по поручению исключительно от имени и по поручению Оператора Лицензиата, который в соответствии с Федеральным законом № 152-ФЗ признаётся оператором персональных данных в отношении данных, загружаемых и используемых им в ИСПДн «Altcraft Platform».
6.2. Политика определяет общие принципы, подходы и пределы обработки персональных данных в ИСПДн «Altcraft Platform». Конкретные условия, цели, категории субъектов, состав персональных данных, операции обработки, сроки хранения и иные параметры обработки персональных данных в рамках использования ИСПДн «Altcraft Platform» устанавливаются Лицензиатом в Поручении на обработку персональных данных (далее – «Поручение»). В случае расхождения положений Политики и Поручения приоритет имеют условия Поручения.
6.3. Обработчик по поручению не определяет самостоятельно цели, состав, категории, способы и сроки обработки персональных данных, не принимает решений о правовых основаниях обработки и не использует персональные данные в собственных интересах. Все указанные параметры обработки определяются Оператором Лицензиатом и конкретизируются в Поручении, являющемся неотъемлемой частью лицензионных условий использования ИСПДн «Altcraft Platform».
6.4. Обработка персональных данных осуществляется исключительно в пределах функциональных возможностей ИСПДн «Altcraft Platform» и типовых сценариев её использования, включая, в частности: формирование клиентских профилей и аудиторий, сегментацию, персонализацию коммуникаций, автоматизацию рассылок, сбор и анализ пользовательской активности, формирование отчётности, управление программами лояльности и иные операции, предусмотренные поручением Лицензиата.
6.5. Перечень конкретных операций обработки персональных данных (включая сбор, запись, систематизацию, накопление, хранение, уточнение, использование, передачу, блокирование, удаление, уничтожение, обезличивание), а также категории субъектов и состав обрабатываемых данных определяются Лицензиатом в Поручении с учётом функционала ИСПДн «Altcraft Platform».
6.6. Обработчик по поручению обеспечивает реализацию правовых, организационных и технических мер защиты персональных данных на уровне инфраструктуры и программных средств ИСПДн «Altcraft Platform» в соответствии с требованиями законодательства Российской Федерации и Политики. Конкретный состав реализуемых мер раскрывается в Поручении.
6.7. Лицензиат самостоятельно обеспечивает наличие правовых оснований обработки персональных данных, включая получение необходимых согласий субъектов персональных данных, выполнение обязанностей по их информированию, соблюдение сроков хранения, а также исполнение запросов субъектов персональных данных. Обработчик по поручению оказывает Оператору Лицензиату техническое содействие в пределах возможностей ИСПДн «Altcraft Platform».
6.8. Обработчик по поручению не осуществляет обработку специальных категорий персональных данных и биометрических персональных данных. В случае выявления загрузки таких данных в нарушение условий использования ИСПДн «Altcraft Platform» Обработчик по поручению вправе приостановить их обработку и потребовать устранения нарушения.
6.9. Передача персональных данных третьим лицам, включая трансграничную передачу, осуществляется исключительно по поручению Оператора Лицензиата и при наличии предусмотренных законодательством оснований. Ответственность за правомерность такой передачи несёт Лицензиат как оператор персональных данных.
6.10. Сроки обработки и порядок уничтожения персональных данных определяются Поручением.
7.1. Обработка и хранение персональных данных Субъектов персональных данных осуществляется Оператором Лицензиатом, а также Обработчиком по поручению на электронных носителях с использованием средств автоматизации и функционала ИСПДн «Altcraft Platform». Срок обработки и хранения персональных данных ограничивается:
✔ сроком действия договора, заключённого между Лицензиатом и Оператором/Обработчиком по поручению;
✔ сроками, установленными согласиями Субъектов персональных данных;
✔ сроками, необходимыми для достижения целей обработки, указанных в настоящей Политике;
✔ сроками, предусмотренными применимыми нормами законодательства Российской Федерации.
7.2. В случае расторжения договора, заключенного между Обработчиком по поручению и Оператором Лицензиатом или окончания срока действия договора без дальнейшего его продления, обе стороны дают обязательство прекратить обработку персональных данных Субъектов персональных данных, Обработчик по поручению также обязуются произвести уничтожение персональных данных Субъектов персональных данных из баз данных ИСПДн «Altcraft Platform» в срок, указанный в п. 11.2. Политики.
7.3. Работники Оператора/Обработчика по поручению, а также Пользователи, непосредственно осуществляющие обработку персональных данных в ИСПДн «Altcraft Platform», дают обязательство о неразглашении персональных данных, ставших известными им в связи с исполнением должностных обязанностей.
7.4. Сроки обработки персональных данных должны ограничиваться достижением конкретных, заранее определённых и законных целей.
7.5. Хранение персональных данных должно осуществляться в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом.
7.6. В случае, если обработка персональных данных осуществляется на основании согласия Субъекта персональных данных, срок обработки ограничивается:
● сроком действия согласия на обработку;
● моментом отзыва согласия Субъектом персональных данных;
● моментом достижения цели обработки.
Обработка прекращается в течение 30 (тридцати) календарных дней с момента поступления отзыва согласия, если иное не установлено законодательством РФ. 7.7. Обработка персональных данных, разрешённых Субъектом персональных данных для распространения, осуществляется в пределах срока, указанного в соответствующем согласии на распространение. В случае отзыва такого согласия, дальнейшее распространение и иная обработка прекращаются, за исключением случаев, предусмотренных Федеральным законом №152-ФЗ.
7.8. По окончании срока обработки персональных данных Оператор и/или Обработчик по поручению обязуются обеспечить:
● уничтожение персональных данных, либо
● обезличивание персональных данных в целях хранения и использования исключительно в статистических или исследовательских целях (при наличии соответствующего законного основания).
✔ сроком действия договора, заключённого между Лицензиатом и Оператором/Обработчиком по поручению;
✔ сроками, установленными согласиями Субъектов персональных данных;
✔ сроками, необходимыми для достижения целей обработки, указанных в настоящей Политике;
✔ сроками, предусмотренными применимыми нормами законодательства Российской Федерации.
7.2. В случае расторжения договора, заключенного между Обработчиком по поручению и Оператором Лицензиатом или окончания срока действия договора без дальнейшего его продления, обе стороны дают обязательство прекратить обработку персональных данных Субъектов персональных данных, Обработчик по поручению также обязуются произвести уничтожение персональных данных Субъектов персональных данных из баз данных ИСПДн «Altcraft Platform» в срок, указанный в п. 11.2. Политики.
7.3. Работники Оператора/Обработчика по поручению, а также Пользователи, непосредственно осуществляющие обработку персональных данных в ИСПДн «Altcraft Platform», дают обязательство о неразглашении персональных данных, ставших известными им в связи с исполнением должностных обязанностей.
7.4. Сроки обработки персональных данных должны ограничиваться достижением конкретных, заранее определённых и законных целей.
7.5. Хранение персональных данных должно осуществляться в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом.
7.6. В случае, если обработка персональных данных осуществляется на основании согласия Субъекта персональных данных, срок обработки ограничивается:
● сроком действия согласия на обработку;
● моментом отзыва согласия Субъектом персональных данных;
● моментом достижения цели обработки.
Обработка прекращается в течение 30 (тридцати) календарных дней с момента поступления отзыва согласия, если иное не установлено законодательством РФ. 7.7. Обработка персональных данных, разрешённых Субъектом персональных данных для распространения, осуществляется в пределах срока, указанного в соответствующем согласии на распространение. В случае отзыва такого согласия, дальнейшее распространение и иная обработка прекращаются, за исключением случаев, предусмотренных Федеральным законом №152-ФЗ.
7.8. По окончании срока обработки персональных данных Оператор и/или Обработчик по поручению обязуются обеспечить:
● уничтожение персональных данных, либо
● обезличивание персональных данных в целях хранения и использования исключительно в статистических или исследовательских целях (при наличии соответствующего законного основания).
8.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
✔ подтверждение факта обработки персональных данных Оператором Лицензиатом, Оператором и Обработчиком по поручению;
✔ правовые основания и цели обработки персональных данных;
✔ цели и применяемые Оператором Лицензиатом, Оператором и Обработчиком по поручению способы обработки персональных данных;
✔ наименование и место нахождения Оператора Лицензиата, Оператора и Обработчика по поручению, сведения о лицах (за исключением работников Оператора и Обработчика по поручению), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором Лицензиатом, Оператором и Обработчиком по поручению или на основании федерального закона;
✔ обрабатываемые персональные данные, относящиеся к соответствующему Субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
✔ сроки обработки персональных данных, в том числе сроки их хранения;
✔ порядок осуществления Субъектом персональных данных прав, предусмотренных Федеральным законом №152-ФЗ;
✔ информацию об осуществленной или о предполагаемой трансграничной передаче данных;
✔ наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора Лицензиата, если обработка поручена или будет поручена такому лицу;
✔ иные сведения, предусмотренные Федеральным законом №152-ФЗ или другими федеральными законами.
8.2. Субъект персональных данных имеет право требовать от Обработчика по поручению уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, неточными, устаревшими, незаконно полученными Оператором Лицензиатом или не являются необходимыми для заявленной цели обработки, отозвать данное Субъектом персональных данных согласие на обработку персональных данных у Оператора Лицензиата, а также принимать предусмотренные действующим законодательством меры по защите своих прав.
8.3. Субъкт персональных данных вправе требовать, чтобы решения, затрагивающие его права и законные интересы, не принимались исключительно на основе автоматизированной обработки персональных данных, включая профилирование, без участия человека. По запросу субъекта персональных данных Оператор Лицензиат, осуществляющий обработку с использованием ИСПДн «Altcraft Platform», обязан предоставить информацию о логике, целях и предполагаемых последствиях автоматизированной обработки персональных данных.
✔ подтверждение факта обработки персональных данных Оператором Лицензиатом, Оператором и Обработчиком по поручению;
✔ правовые основания и цели обработки персональных данных;
✔ цели и применяемые Оператором Лицензиатом, Оператором и Обработчиком по поручению способы обработки персональных данных;
✔ наименование и место нахождения Оператора Лицензиата, Оператора и Обработчика по поручению, сведения о лицах (за исключением работников Оператора и Обработчика по поручению), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором Лицензиатом, Оператором и Обработчиком по поручению или на основании федерального закона;
✔ обрабатываемые персональные данные, относящиеся к соответствующему Субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
✔ сроки обработки персональных данных, в том числе сроки их хранения;
✔ порядок осуществления Субъектом персональных данных прав, предусмотренных Федеральным законом №152-ФЗ;
✔ информацию об осуществленной или о предполагаемой трансграничной передаче данных;
✔ наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора Лицензиата, если обработка поручена или будет поручена такому лицу;
✔ иные сведения, предусмотренные Федеральным законом №152-ФЗ или другими федеральными законами.
8.2. Субъект персональных данных имеет право требовать от Обработчика по поручению уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, неточными, устаревшими, незаконно полученными Оператором Лицензиатом или не являются необходимыми для заявленной цели обработки, отозвать данное Субъектом персональных данных согласие на обработку персональных данных у Оператора Лицензиата, а также принимать предусмотренные действующим законодательством меры по защите своих прав.
8.3. Субъкт персональных данных вправе требовать, чтобы решения, затрагивающие его права и законные интересы, не принимались исключительно на основе автоматизированной обработки персональных данных, включая профилирование, без участия человека. По запросу субъекта персональных данных Оператор Лицензиат, осуществляющий обработку с использованием ИСПДн «Altcraft Platform», обязан предоставить информацию о логике, целях и предполагаемых последствиях автоматизированной обработки персональных данных.
▶️Показать полностью
8.4. Оператор Лицензиат обязан обеспечить возможность вмешательства человека в процесс принятия решений, затрагивающих права и законные интересы Субъекта персональных данных, при этом Обработчик по поручению по запросу Оператора Лицензиата может оказать необходимую техническую поддержку для реализации данного права.
8.5. С целью получения сведений, указанных в п. 8.1., Субъект персональных данных предоставляет соответствующий запрос Оператору и (или) Обработчику по поручению самостоятельно или через представителя. Оператор и (или) Обработчик по поручению в свою очередь оформляет поступивший запрос в Журнал учета запросов Субъектов персональных данных, уведомляет Оператора Лицензиата о поступившем запросе в течении 3 (трех) рабочих дней с требованием предоставить персональные данные Субъекта персональных данных, от которого поступил запрос. После получения от Оператора Лицензиата информации об обрабатываемых им персональных данных, Оператор и (или) Обработчик по поручению выполняет поступивший запрос.
8.6. В случае, если запрос Субъекта персональных данных поступает Оператору Лицензиату, выполняет данный запрос Оператор Лицензиат без участия Оператора и (или) Обработчика по поручению.
8.7. Запрос Субъекта персональных данных должен содержать номер основного документа, удостоверяющего личность Субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта персональных данных в отношениях с Лицензиатом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором Лицензиатом, подпись Субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
8.8. Субъект персональных данных вправе в любой момент отозвать своё согласие на обработку персональных данных в целях маркетинга, рекламы, политической агитации, в том числе при обработке с использованием ИСПДн «Altcraft Platform». После получения отзыва согласия:
✔ Оператор Лицензиат обязан в срок не позднее 3 (трех) рабочих дней прекратить соответствующую обработку персональных данных;
✔ Для реализации данного требования Оператор Лицензиат взаимодействует с Обработчиком по поручению, который обеспечивает техническое выполнение запрета на дальнейшую обработку в рамках ИСПДн «Altcraft Platform».
8.9. Если Субъект персональных данных считает, что Оператор Лицензиат или Обработчик по поручению осуществляют обработку его персональных данных с нарушением требований Федеральных законов или иным образом нарушает его права и свободы, Субъект персональных данных вправе обжаловать действия или бездействие Оператора или Обработчика по поручению в уполномоченный орган по защите прав Субъектов персональных данных или в судебном порядке.
8.5. С целью получения сведений, указанных в п. 8.1., Субъект персональных данных предоставляет соответствующий запрос Оператору и (или) Обработчику по поручению самостоятельно или через представителя. Оператор и (или) Обработчик по поручению в свою очередь оформляет поступивший запрос в Журнал учета запросов Субъектов персональных данных, уведомляет Оператора Лицензиата о поступившем запросе в течении 3 (трех) рабочих дней с требованием предоставить персональные данные Субъекта персональных данных, от которого поступил запрос. После получения от Оператора Лицензиата информации об обрабатываемых им персональных данных, Оператор и (или) Обработчик по поручению выполняет поступивший запрос.
8.6. В случае, если запрос Субъекта персональных данных поступает Оператору Лицензиату, выполняет данный запрос Оператор Лицензиат без участия Оператора и (или) Обработчика по поручению.
8.7. Запрос Субъекта персональных данных должен содержать номер основного документа, удостоверяющего личность Субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта персональных данных в отношениях с Лицензиатом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором Лицензиатом, подпись Субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
8.8. Субъект персональных данных вправе в любой момент отозвать своё согласие на обработку персональных данных в целях маркетинга, рекламы, политической агитации, в том числе при обработке с использованием ИСПДн «Altcraft Platform». После получения отзыва согласия:
✔ Оператор Лицензиат обязан в срок не позднее 3 (трех) рабочих дней прекратить соответствующую обработку персональных данных;
✔ Для реализации данного требования Оператор Лицензиат взаимодействует с Обработчиком по поручению, который обеспечивает техническое выполнение запрета на дальнейшую обработку в рамках ИСПДн «Altcraft Platform».
8.9. Если Субъект персональных данных считает, что Оператор Лицензиат или Обработчик по поручению осуществляют обработку его персональных данных с нарушением требований Федеральных законов или иным образом нарушает его права и свободы, Субъект персональных данных вправе обжаловать действия или бездействие Оператора или Обработчика по поручению в уполномоченный орган по защите прав Субъектов персональных данных или в судебном порядке.
9.1. Оператор/Обработчик по поручению обязан не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено Федеральными законами.
9.2. Оператор/Обработчик по поручению обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
9.3. Обработчик вправе обрабатывать персональные данные Субъектов персональных данных – клиентов Лицензиата, предоставленные Оператором Лицензиатом, исключительно по поручению и в рамках заключенного договора.
9.4. Оператор/Обработчик по поручению обязан предоставить Субъекту персональных данных по его письменному запросу, направленному в порядке, установленном разделом 8 настоящей Политики, информацию, предусмотренную пунктом 8.1 настоящей Политики.
9.5. Оператор/Обработчик по поручению вправе отказать Субъекту персональных данных в удовлетворении его запроса, направленного в соответствии с Федеральным законом № 152-ФЗ, с обязательным указанием причин отказа, в следующих случаях:
✔ Отсутствие правомочий у заявителя на подачу запроса от имени Субъекта персональных данных (например, отсутствие надлежащей доверенности от представителя).
✔ Нарушение порядка оформления запроса, установленного ст. 14 Федерального закон а №152-ФЗ (например, запрос не содержит сведений, позволяющих идентифицировать Субъекта персональных данных, отсутствует подпись, паспортные данные и т.п.).
✔ Отсутствие у Оператора/Обработчика информации, подтверждающей факт обработки персональных данных Субъекта.
✔ Наличие у Оператора обязанности продолжить обработку персональных данных в соответствии с законом, несмотря на заявление об отзыве согласия или требование о прекращении обработки (например, на основании п. 2–11 ч. 1 ст. 6 Федерального закона №152-ФЗ — исполнение договора, обязанности по учету, отчетности, судебные споры и пр.).
✔ Обработка персональных данных осуществляется в целях национальной безопасности, обороны страны, обеспечения правопорядка, противодействия терроризму, и иные случаи, предусмотренные законодательством Российской Федерации.
✔ Запрос касается персональных данных третьих лиц, и удовлетворение запроса может привести к нарушению их прав и законных интересов;
✔ Персональные данные были обезличены, и идентификация Субъекта по ним невозможна.
✔ Истечение срока хранения персональных данных, после чего данные были уничтожены или обезличены в соответствии с политикой обработки персональных данных и нормами законодательства.
9.6. Оператор/Обработчик по поручению по требованию Субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неточными, неполными, устаревшими, незаконно полученными Заказчиком или не являются необходимыми для заявленной цели обработки данных согласно разделу 5 Политики.
9.7. Оператор/Обработчик по поручению обязан вести журнал учета обращений Субъектов персональных данных, в котором фиксируются запросы Субъектов персональных данных на получение персональных данных, а также факты предоставления персональных данных по этим запросам.
9.8. Оператор/Обработчик по поручению вправе использовать обезличенные данные и действия Субъектов персональных данных исключительно для статистических или исследовательских целей. Результаты могут быть обобщены и размещены в публичном доступе, при условии невозможности идентификации Субъекта персональных данных.
9.9. Оператор/Обработчик по поручению гарантирует принятие всех необходимых мер по охране и недопущению разглашения персональных данных Субъектов персональных данных, надежное хранение таких данных и соблюдение режима конфиденциальности в отношении персональных данных Субъектов персональных данных.
9.10. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор/Обработчик по поручению обязуется обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в п. 2, 3, 4, 8 ч. 1 ст. 6 Федерального закона № 152-ФЗ.
9.11. Обработчик по поручению, обязан по запросу Лицензиата в течение срока действия договора между Лицензиатом и Обработчиком по поручению, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Лицензиата требований, установленных в соответствии с ч. 3 ст. 6 Федерального закона № 152-ФЗ.
9.12. Обработчик по поручению, обязуется уведомлять Лицензиата в случае выявления неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, обрабатываемых Обработчиком по поручению в рамках поручения Лицензиата (далее – «Инцидент»), или если Обработчик по поручению обоснованно полагает, что имел место Инцидент. Уведомление осуществляется в два этапа:
9.2. Оператор/Обработчик по поручению обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
9.3. Обработчик вправе обрабатывать персональные данные Субъектов персональных данных – клиентов Лицензиата, предоставленные Оператором Лицензиатом, исключительно по поручению и в рамках заключенного договора.
9.4. Оператор/Обработчик по поручению обязан предоставить Субъекту персональных данных по его письменному запросу, направленному в порядке, установленном разделом 8 настоящей Политики, информацию, предусмотренную пунктом 8.1 настоящей Политики.
9.5. Оператор/Обработчик по поручению вправе отказать Субъекту персональных данных в удовлетворении его запроса, направленного в соответствии с Федеральным законом № 152-ФЗ, с обязательным указанием причин отказа, в следующих случаях:
✔ Отсутствие правомочий у заявителя на подачу запроса от имени Субъекта персональных данных (например, отсутствие надлежащей доверенности от представителя).
✔ Нарушение порядка оформления запроса, установленного ст. 14 Федерального закон а №152-ФЗ (например, запрос не содержит сведений, позволяющих идентифицировать Субъекта персональных данных, отсутствует подпись, паспортные данные и т.п.).
✔ Отсутствие у Оператора/Обработчика информации, подтверждающей факт обработки персональных данных Субъекта.
✔ Наличие у Оператора обязанности продолжить обработку персональных данных в соответствии с законом, несмотря на заявление об отзыве согласия или требование о прекращении обработки (например, на основании п. 2–11 ч. 1 ст. 6 Федерального закона №152-ФЗ — исполнение договора, обязанности по учету, отчетности, судебные споры и пр.).
✔ Обработка персональных данных осуществляется в целях национальной безопасности, обороны страны, обеспечения правопорядка, противодействия терроризму, и иные случаи, предусмотренные законодательством Российской Федерации.
✔ Запрос касается персональных данных третьих лиц, и удовлетворение запроса может привести к нарушению их прав и законных интересов;
✔ Персональные данные были обезличены, и идентификация Субъекта по ним невозможна.
✔ Истечение срока хранения персональных данных, после чего данные были уничтожены или обезличены в соответствии с политикой обработки персональных данных и нормами законодательства.
9.6. Оператор/Обработчик по поручению по требованию Субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неточными, неполными, устаревшими, незаконно полученными Заказчиком или не являются необходимыми для заявленной цели обработки данных согласно разделу 5 Политики.
9.7. Оператор/Обработчик по поручению обязан вести журнал учета обращений Субъектов персональных данных, в котором фиксируются запросы Субъектов персональных данных на получение персональных данных, а также факты предоставления персональных данных по этим запросам.
9.8. Оператор/Обработчик по поручению вправе использовать обезличенные данные и действия Субъектов персональных данных исключительно для статистических или исследовательских целей. Результаты могут быть обобщены и размещены в публичном доступе, при условии невозможности идентификации Субъекта персональных данных.
9.9. Оператор/Обработчик по поручению гарантирует принятие всех необходимых мер по охране и недопущению разглашения персональных данных Субъектов персональных данных, надежное хранение таких данных и соблюдение режима конфиденциальности в отношении персональных данных Субъектов персональных данных.
9.10. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор/Обработчик по поручению обязуется обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в п. 2, 3, 4, 8 ч. 1 ст. 6 Федерального закона № 152-ФЗ.
9.11. Обработчик по поручению, обязан по запросу Лицензиата в течение срока действия договора между Лицензиатом и Обработчиком по поручению, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Лицензиата требований, установленных в соответствии с ч. 3 ст. 6 Федерального закона № 152-ФЗ.
9.12. Обработчик по поручению, обязуется уведомлять Лицензиата в случае выявления неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, обрабатываемых Обработчиком по поручению в рамках поручения Лицензиата (далее – «Инцидент»), или если Обработчик по поручению обоснованно полагает, что имел место Инцидент. Уведомление осуществляется в два этапа:
| Этап уведомления | Срок | Содержание уведомления |
|---|---|---|
| Первое уведомление | Не позднее 24 (двадцати четырех) часов с момента выявления Инцидента | 1. Краткое описание выявленного Инцидента; 2. Предполагаемые причины его возникновения; 3. Оценка потенциального вреда правам субъектов ПДн (при наличии); 4. Меры, принятые для устранения последствий; 5. Контактное лицо, уполномоченное предоставлять дополнительную информацию. |
| Второе уведомление | Не позднее 54 (пятьдесят четыре) часов с момента выявления Инцидента | 1. Результаты внутреннего расследования; 2. Информация о лицах, действия которых привели или могли привести к Инциденту (если такие лица установлены). |
Уведомления направляются в письменной форме или по каналам связи, согласованным в договоре, с последующим подтверждением получения. Информация должна быть достоверной и актуальной на момент составления уведомлений.
9.15. При обращении Субъекта персональных данных, его представителя или уполномоченного органа по защите прав субъектов персональных данных Оператор/Обработчик по поручению обязан немедленно заблокировать соответствующие персональные данные, относящиеся к этому субъекту, на период проведения проверки.
9.16. Если выявлены неточные персональные данные, Оператор/Обработчик по поручению обязан блокировать такие данные, если это не нарушает права и законные интересы Субъекта персональных данных или третьих лиц.
9.17. В течение 7 (семи) рабочих дней с момента получения сведений от Субъекта персональных данных, его представителя или уполномоченного органа по защите прав субъектов персональных данных уточнить персональные данные и снять их блокировку.
9.18. При выявлении неправомерной обработки персональных данных Оператор/Обработчик по поручению обязан:
● Прекратить неправомерную обработку в срок не более 3 (трех) рабочих дней с момента выявления;
● В случае невозможности обеспечить правомерность обработки – уничтожить персональные данные в срок не более 10 (десяти) рабочих дней с момента выявления;
● Об уведомлении Субъекта персональных данных, его представителя и уполномоченного органа по защите прав субъектов персональных данных направить соответствующее уведомление.
9.19. В случае неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных Оператор/Обработчик по поручению обязан уведомить уполномоченный орган по защите прав субъектов персональных данных:
● В течение 24 (двадцати четырех) часов с момента выявления – о самом Инциденте, причинах, возможном вреде и мерах устранения, а также предоставить контактные данные ответственного лица;
● В течение 72 (семидесяти двух) часов – о результатах внутреннего расследования и лицах, причастных к Инциденту (если такие имеются).
9.20. При получении требования Субъекта персональных данных о прекращении обработки персональных данных Оператор/Обработчик обязан прекратить обработку в срок, не превышающий 10 (десять) рабочих дней с момента получения требования, за исключением случаев, предусмотренных п. 2–11 ч.1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона №152-ФЗ. Срок может быть продлен не более чем на 5 (пять) рабочих дней с уведомлением Субъекта о причинах продления.
9.21. В случае невозможности уничтожения персональных данных в сроки, указанные в пункте 11.10, Оператор/Обработчик обязан обеспечить блокирование персональных данных и уничтожить их в срок, не превышающий 6 месяцев, если иной срок не установлен федеральными законами.
9.22. Подтверждение уничтожения персональных данных производится в соответствии с требованиями уполномоченного органа по защите прав субъектов персональных данных.
9.15. При обращении Субъекта персональных данных, его представителя или уполномоченного органа по защите прав субъектов персональных данных Оператор/Обработчик по поручению обязан немедленно заблокировать соответствующие персональные данные, относящиеся к этому субъекту, на период проведения проверки.
9.16. Если выявлены неточные персональные данные, Оператор/Обработчик по поручению обязан блокировать такие данные, если это не нарушает права и законные интересы Субъекта персональных данных или третьих лиц.
9.17. В течение 7 (семи) рабочих дней с момента получения сведений от Субъекта персональных данных, его представителя или уполномоченного органа по защите прав субъектов персональных данных уточнить персональные данные и снять их блокировку.
9.18. При выявлении неправомерной обработки персональных данных Оператор/Обработчик по поручению обязан:
● Прекратить неправомерную обработку в срок не более 3 (трех) рабочих дней с момента выявления;
● В случае невозможности обеспечить правомерность обработки – уничтожить персональные данные в срок не более 10 (десяти) рабочих дней с момента выявления;
● Об уведомлении Субъекта персональных данных, его представителя и уполномоченного органа по защите прав субъектов персональных данных направить соответствующее уведомление.
9.19. В случае неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных Оператор/Обработчик по поручению обязан уведомить уполномоченный орган по защите прав субъектов персональных данных:
● В течение 24 (двадцати четырех) часов с момента выявления – о самом Инциденте, причинах, возможном вреде и мерах устранения, а также предоставить контактные данные ответственного лица;
● В течение 72 (семидесяти двух) часов – о результатах внутреннего расследования и лицах, причастных к Инциденту (если такие имеются).
9.20. При получении требования Субъекта персональных данных о прекращении обработки персональных данных Оператор/Обработчик обязан прекратить обработку в срок, не превышающий 10 (десять) рабочих дней с момента получения требования, за исключением случаев, предусмотренных п. 2–11 ч.1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона №152-ФЗ. Срок может быть продлен не более чем на 5 (пять) рабочих дней с уведомлением Субъекта о причинах продления.
9.21. В случае невозможности уничтожения персональных данных в сроки, указанные в пункте 11.10, Оператор/Обработчик обязан обеспечить блокирование персональных данных и уничтожить их в срок, не превышающий 6 месяцев, если иной срок не установлен федеральными законами.
9.22. Подтверждение уничтожения персональных данных производится в соответствии с требованиями уполномоченного органа по защите прав субъектов персональных данных.
10.1. Оператор Лицензиат осуществляет обработку персональных данных Субъектов персональных данных в ИСПДн «Altcraft Platform» в соответствии с настоящей Политикой, Федеральным законом № 152-ФЗ, иными нормативными правовыми актами.
10.2. Оператор Лицензиат осуществляет обработку персональных данных с использованием ИСПДн «Altcraft Platform» исключительно в пределах тех категорий персональных данных, которые предусмотрены функциональными возможностями системы и установлены в Перечне персональных данных, обрабатываемых в информационных системах персональных данных Оператора, утверждённом единоличным исполнительным органом Оператора. Обработка иных категорий персональных данных, не предусмотренных технической архитектурой и конфигурацией ИСПДн «Altcraft Platform», не осуществляется. Передача, хранение, изменение и удаление данных возможны только в рамках предусмотренных параметров системы и заданной архитектуры обработки.
10.3. Оператор Лицензиат при использовании ИСПДн «Altcraft Platform» имеет право на:
● формирование пользовательских сегментов и построение автоматизированных сценариев взаимодействия на основе персональных данных;
● использование персональных данных в рамках клиентских, маркетинговых, сервисных и иных коммуникационных кампаний;
● применение инструментов аналитики, предиктивного моделирования и поведенческого таргетинга на основе персональных данных. Оператор Лицензиат самостоятельно определяет цели, объем и способы обработки персональных данных в рамках своих кампаний и несёт ответственность за правомерность, безопасность и прозрачность обработки.
Указанные действия осуществляются при соблюдении принципов законности, справедливости, пропорциональности, минимизации объема обрабатываемых данных, а также с обеспечением прозрачности и информационной открытости для Субъектов персональных данных. При этом:
✔ Оператор как правообладатель ИСПДн «Altcraft Platform» выступает Обработчиком по поручению, предоставляя технические и программные средства обработки;
✔ любые действия по распространению информации осуществляются от имени Оператора Лицензиата, который признаётся источником и владельцем распространяемого контента.
10.4. Оператор Лицензиат гарантирует качество (полноту, достоверность, актуальность, законность получения) персональных данных Субъектов персональных данных. Для подтверждения качества обработки персональных данных по запросу Обработчика по поручению, Оператор Лицензиат обязан предоставить документы, подтверждающие согласие Субъектов персональных данных на получение любой информации в ходе кампаний.
10.5. В случае, если Обработчик по поручению полагает, что информация, размещённая или хранящаяся Оператором Лицензиатом в рамках использования ИСПДн «Altcraft Platform»:
● может нанести ущерб деловой репутации ИСПДн «Altcraft Platform»;
● противоречит требованиям раздела 5 настоящей Политики;
● нарушает принципы законности, минимизации, достоверности, актуальности, или иные требования законодательства Российской Федерации о персональных данных, Обработчик по поручению вправе направить Оператору Лицензиату требование о проведении корректирующих мероприятий, включая, но не ограничиваясь:
✔ очисткой базы данных от недостоверной, недопустимой или сомнительной информации;
✔ исключением определённых Субъектов персональных данных из обработки;
✔ корректировкой или временной приостановкой информационных кампаний, в том числе изменением графика их проведения.
Оператор Лицензиат обязан выполнить указанные требования в полном объёме в течение 5 (пяти) рабочих дней с момента получения соответствующего уведомления от Обработчика по поручению.
В случае неисполнения или ненадлежащего исполнения указанных требований в установленный срок, Обработчик по поручению оставляет за собой право самостоятельно реализовать необходимые меры с использованием доступных технических и организационных средств, включая временное ограничение доступа к ИСПДн «Altcraft Platform».
10.6. До начала использования ИСПДн «Altcraft Platform» Оператор Лицензиат обязан получить юридически значимое, информированное и добровольное согласие Субъектов персональных данных, которое должно содержать:
1) согласие Субъекта персональных данных на обработку его персональных данных;
2) согласие Субъекта персональных данных на передачу его персональных данных Оператором Лицензиатом Обработчику по поручению для обработки;
3) перечень действий, который Обработчик по поручению может осуществлять с персональными данными Субъектов персональных данных.
10.7. Оператор Лицензиат гарантирует, что Субъекты персональных данных ознакомлены с тем, что их персональные данные будут обрабатываться в том числе Обработчиком по поручению в целях, предусмотренных настоящей Политикой.
10.8. Оператор Лицензиат обеспечивает реализацию прав Субъектов персональных данных, предусмотренных ст. 14–21 Федерального закона №152-ФЗ. Все запросы, поступившие в адрес Обработчика по поручению, перенаправляются Оператору Лицензиату в течение 3 (трех) рабочих дней со дня поступления такого запроса.
10.9. При использовании ИСПДн «Altcraft Platform» Оператор Лицензиат обязуется не хранить персональные данные дольше, чем это необходимо для достижения целей их обработки. По окончании срока хранения персональные данные подлежат удалению или обезличиванию, если иное не предусмотрено законодательством РФ.
10.10. Пользователь обязан не раскрывать третьим лицам и не распространять персональные данные, хранящиеся в аккаунте Пользователя, без согласия Субъекта персональных данных, если иное не предусмотрено Федеральными законами.
10.11. При использовании ИСПДн «Altcraft Platform», Пользователь имеет право самостоятельно загружать и выгружать персональные данные Субъектов персональных данных, настраивать и использовать функциональность платформы в пределах, предусмотренных лицензионным договором (публичная оферта) и настоящей Политикой, запрашивать техническую и организационную поддержку по вопросам обработки персональных данных у Оператора/Обработчика по поручению.
10.12. Пользователь и Оператор Лицензиат обязуются:
✔ не использовать платформу для незаконной, вредоносной или вводящей в заблуждение обработки персональных данных;
✔ незамедлительно уведомлять Обработчика по поручению о выявленных инцидентах, утечках данных или нарушениях, касающихся обработки персональных данных.
10.13. В случае выявления инцидента, связанного с несанкционированным доступом к персональным данным, Оператор Лицензиат обязан в течение 24 часов уведомить Обработчика по поручению и принять необходимые меры по устранению последствий утечки, включая уведомление Субъектов персональных данных (при необходимости).
10.14. Оператор Лицензиат и Пользователь несут ответственность за нарушение законодательства о персональных данных, включая неправомерную обработку, распространение или использование персональных данных, в соответствии с действующим законодательством Российской Федерации. Обработчик по поручению не несёт ответственности за действия Оператора Лицензиата и Пользователя, выходящие за рамки технической и программной реализации обработки.
10.2. Оператор Лицензиат осуществляет обработку персональных данных с использованием ИСПДн «Altcraft Platform» исключительно в пределах тех категорий персональных данных, которые предусмотрены функциональными возможностями системы и установлены в Перечне персональных данных, обрабатываемых в информационных системах персональных данных Оператора, утверждённом единоличным исполнительным органом Оператора. Обработка иных категорий персональных данных, не предусмотренных технической архитектурой и конфигурацией ИСПДн «Altcraft Platform», не осуществляется. Передача, хранение, изменение и удаление данных возможны только в рамках предусмотренных параметров системы и заданной архитектуры обработки.
10.3. Оператор Лицензиат при использовании ИСПДн «Altcraft Platform» имеет право на:
● формирование пользовательских сегментов и построение автоматизированных сценариев взаимодействия на основе персональных данных;
● использование персональных данных в рамках клиентских, маркетинговых, сервисных и иных коммуникационных кампаний;
● применение инструментов аналитики, предиктивного моделирования и поведенческого таргетинга на основе персональных данных. Оператор Лицензиат самостоятельно определяет цели, объем и способы обработки персональных данных в рамках своих кампаний и несёт ответственность за правомерность, безопасность и прозрачность обработки.
Указанные действия осуществляются при соблюдении принципов законности, справедливости, пропорциональности, минимизации объема обрабатываемых данных, а также с обеспечением прозрачности и информационной открытости для Субъектов персональных данных. При этом:
✔ Оператор как правообладатель ИСПДн «Altcraft Platform» выступает Обработчиком по поручению, предоставляя технические и программные средства обработки;
✔ любые действия по распространению информации осуществляются от имени Оператора Лицензиата, который признаётся источником и владельцем распространяемого контента.
10.4. Оператор Лицензиат гарантирует качество (полноту, достоверность, актуальность, законность получения) персональных данных Субъектов персональных данных. Для подтверждения качества обработки персональных данных по запросу Обработчика по поручению, Оператор Лицензиат обязан предоставить документы, подтверждающие согласие Субъектов персональных данных на получение любой информации в ходе кампаний.
10.5. В случае, если Обработчик по поручению полагает, что информация, размещённая или хранящаяся Оператором Лицензиатом в рамках использования ИСПДн «Altcraft Platform»:
● может нанести ущерб деловой репутации ИСПДн «Altcraft Platform»;
● противоречит требованиям раздела 5 настоящей Политики;
● нарушает принципы законности, минимизации, достоверности, актуальности, или иные требования законодательства Российской Федерации о персональных данных, Обработчик по поручению вправе направить Оператору Лицензиату требование о проведении корректирующих мероприятий, включая, но не ограничиваясь:
✔ очисткой базы данных от недостоверной, недопустимой или сомнительной информации;
✔ исключением определённых Субъектов персональных данных из обработки;
✔ корректировкой или временной приостановкой информационных кампаний, в том числе изменением графика их проведения.
Оператор Лицензиат обязан выполнить указанные требования в полном объёме в течение 5 (пяти) рабочих дней с момента получения соответствующего уведомления от Обработчика по поручению.
В случае неисполнения или ненадлежащего исполнения указанных требований в установленный срок, Обработчик по поручению оставляет за собой право самостоятельно реализовать необходимые меры с использованием доступных технических и организационных средств, включая временное ограничение доступа к ИСПДн «Altcraft Platform».
10.6. До начала использования ИСПДн «Altcraft Platform» Оператор Лицензиат обязан получить юридически значимое, информированное и добровольное согласие Субъектов персональных данных, которое должно содержать:
1) согласие Субъекта персональных данных на обработку его персональных данных;
2) согласие Субъекта персональных данных на передачу его персональных данных Оператором Лицензиатом Обработчику по поручению для обработки;
3) перечень действий, который Обработчик по поручению может осуществлять с персональными данными Субъектов персональных данных.
10.7. Оператор Лицензиат гарантирует, что Субъекты персональных данных ознакомлены с тем, что их персональные данные будут обрабатываться в том числе Обработчиком по поручению в целях, предусмотренных настоящей Политикой.
10.8. Оператор Лицензиат обеспечивает реализацию прав Субъектов персональных данных, предусмотренных ст. 14–21 Федерального закона №152-ФЗ. Все запросы, поступившие в адрес Обработчика по поручению, перенаправляются Оператору Лицензиату в течение 3 (трех) рабочих дней со дня поступления такого запроса.
10.9. При использовании ИСПДн «Altcraft Platform» Оператор Лицензиат обязуется не хранить персональные данные дольше, чем это необходимо для достижения целей их обработки. По окончании срока хранения персональные данные подлежат удалению или обезличиванию, если иное не предусмотрено законодательством РФ.
10.10. Пользователь обязан не раскрывать третьим лицам и не распространять персональные данные, хранящиеся в аккаунте Пользователя, без согласия Субъекта персональных данных, если иное не предусмотрено Федеральными законами.
10.11. При использовании ИСПДн «Altcraft Platform», Пользователь имеет право самостоятельно загружать и выгружать персональные данные Субъектов персональных данных, настраивать и использовать функциональность платформы в пределах, предусмотренных лицензионным договором (публичная оферта) и настоящей Политикой, запрашивать техническую и организационную поддержку по вопросам обработки персональных данных у Оператора/Обработчика по поручению.
10.12. Пользователь и Оператор Лицензиат обязуются:
✔ не использовать платформу для незаконной, вредоносной или вводящей в заблуждение обработки персональных данных;
✔ незамедлительно уведомлять Обработчика по поручению о выявленных инцидентах, утечках данных или нарушениях, касающихся обработки персональных данных.
10.13. В случае выявления инцидента, связанного с несанкционированным доступом к персональным данным, Оператор Лицензиат обязан в течение 24 часов уведомить Обработчика по поручению и принять необходимые меры по устранению последствий утечки, включая уведомление Субъектов персональных данных (при необходимости).
10.14. Оператор Лицензиат и Пользователь несут ответственность за нарушение законодательства о персональных данных, включая неправомерную обработку, распространение или использование персональных данных, в соответствии с действующим законодательством Российской Федерации. Обработчик по поручению не несёт ответственности за действия Оператора Лицензиата и Пользователя, выходящие за рамки технической и программной реализации обработки.
11. ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ДОСТИЖЕНИИ ЦЕЛЕЙ ОБРАБОТКИ ИЛИ ПРИ НАСТУПЛЕНИИ ИНЫХ ЗАКОННЫХ ОСНОВАНИЙ
11.1. Персональные данные, обрабатываемые в ИСПДн «Altcraft Platform», подлежат уничтожению или обезличиванию при достижении целей их обработки либо при наступлении обстоятельств, исключающих необходимость такой обработки, за исключением случаев, когда обязанность по дальнейшему хранению персональных данных предусмотрена законодательством Российской Федерации.
11.2. В случае достижения цели обработки персональных данных Оператор и Обработчик по поручению обязаны прекратить обработку персональных данных или обеспечить ее прекращение Оператором Лицензиатом и уничтожить персональные данные или обеспечить их уничтожение Оператором Лицензиатом в срок, не превышающий 30 (тридцать) дней с даты достижения цели обработки персональных данных.
11.3. При расторжении договора между Оператором и Оператором Лицензиатом или между Оператором Лицензиатом и Обработчиком по поручению, а также при окончании срока действия договора без его продления, персональные данные подлежат уничтожению в срок, не превышающий 30 (тридцати) календарных дней. При наличии объективных технических причин, препятствующих своевременному уничтожению, Оператор и/или Обработчик обязуются зафиксировать причины отсрочки и уведомить Оператора Лицензиата с указанием новой даты уничтожения.
11.4. Уничтожение персональных данных в ИСПДн «Altcraft Platform» осуществляется с использованием технических средств, исключающих возможность восстановления информации, в том числе через:
● Программные средства удаления данных из баз данных и файловой системы;
● Очистку и затирание данных в логах и кэшах;
● Обеспечение автоматического удаления персональных данных из резервных копий по завершении их жизненного цикла.
11.5. Удалению подлежат все данные, включая те, что хранятся в основной базе ИСПДн «Altcraft Platform», в журналах, системах кэширования, логирования, а также в интеграционных каналах.
11.6. В случае поступления от субъекта персональных данных требования об удалении данных или отзыва согласия на обработку, Оператор Лицензиат и/или Обработчик по поручению обязуются уничтожить соответствующие данные и, при возможности, уведомить субъекта персональных данных о завершении процедуры уничтожения в разумный срок.
11.7. Если обработка и хранение персональных данных требуется по закону (например, в целях бухгалтерского учёта, налоговой отчётности, архивного хранения), такие персональные данные уничтожаются только по истечении установленных сроков хранения.
11.8. Процедура уничтожения персональных данных осуществляется специально уполномоченным сотрудником или комиссией. Факт уничтожения фиксируется в акте, содержащем: дату, перечень уничтоженных данных, способ уничтожения, основания и подписи ответственных лиц.
11.9. Подробный перечень оснований для прекращения обработки персональных данных, соответствующие сроки их уничтожения, а также обязательные действия Обработчика по поручению приведены в Таблице:
11.2. В случае достижения цели обработки персональных данных Оператор и Обработчик по поручению обязаны прекратить обработку персональных данных или обеспечить ее прекращение Оператором Лицензиатом и уничтожить персональные данные или обеспечить их уничтожение Оператором Лицензиатом в срок, не превышающий 30 (тридцать) дней с даты достижения цели обработки персональных данных.
11.3. При расторжении договора между Оператором и Оператором Лицензиатом или между Оператором Лицензиатом и Обработчиком по поручению, а также при окончании срока действия договора без его продления, персональные данные подлежат уничтожению в срок, не превышающий 30 (тридцати) календарных дней. При наличии объективных технических причин, препятствующих своевременному уничтожению, Оператор и/или Обработчик обязуются зафиксировать причины отсрочки и уведомить Оператора Лицензиата с указанием новой даты уничтожения.
11.4. Уничтожение персональных данных в ИСПДн «Altcraft Platform» осуществляется с использованием технических средств, исключающих возможность восстановления информации, в том числе через:
● Программные средства удаления данных из баз данных и файловой системы;
● Очистку и затирание данных в логах и кэшах;
● Обеспечение автоматического удаления персональных данных из резервных копий по завершении их жизненного цикла.
11.5. Удалению подлежат все данные, включая те, что хранятся в основной базе ИСПДн «Altcraft Platform», в журналах, системах кэширования, логирования, а также в интеграционных каналах.
11.6. В случае поступления от субъекта персональных данных требования об удалении данных или отзыва согласия на обработку, Оператор Лицензиат и/или Обработчик по поручению обязуются уничтожить соответствующие данные и, при возможности, уведомить субъекта персональных данных о завершении процедуры уничтожения в разумный срок.
11.7. Если обработка и хранение персональных данных требуется по закону (например, в целях бухгалтерского учёта, налоговой отчётности, архивного хранения), такие персональные данные уничтожаются только по истечении установленных сроков хранения.
11.8. Процедура уничтожения персональных данных осуществляется специально уполномоченным сотрудником или комиссией. Факт уничтожения фиксируется в акте, содержащем: дату, перечень уничтоженных данных, способ уничтожения, основания и подписи ответственных лиц.
11.9. Подробный перечень оснований для прекращения обработки персональных данных, соответствующие сроки их уничтожения, а также обязательные действия Обработчика по поручению приведены в Таблице:
| Основание прекращения обработки | Срок уничтожения ПДн | Действия Оператора |
|---|---|---|
| 1. Получение от Субъекта персональных данных запроса об удалении данных или отзыва согласия | Не более 30 календарных дней с даты получения запроса | – Верификация личности заявителя; – Проверка полномочий (в случае подачи от представителя); – Прекращение обработки; – Удаление персональных данных; – Уведомление Субъекта ПДн о результатах; – Обновление регистра учета запросов. |
| 2. Прекращение договорных отношений между Оператором/Обработчиком по поручению и Оператором Лицензиатом | Не более 30 календарных дней с даты расторжения договора | – Блокировка доступа к ИСПДн «Altcraft Platform»; – Удаление/уничтожение персональных данных; – Составление и подписание акта об уничтожении; – Архивирование сопроводительных документов (при необходимости). |
| 3. Достижение цели обработки персональных данных | Не более 30 календарных дней с момента достижения цели | – Прекращение обработки; – Уничтожение ПДн; – Подготовка акта; – Отражение информации в журнале учета обработки ПДн. |
| 4. Истечение срока хранения персональных данных | В течение 10 рабочих дней с момента истечения срока хранения | – Анализ сроков хранения; – Подготовка списка данных, подлежащих уничтожению; – Уничтожение данных; – Составление Акта об уничтожении ПДн. |
| 5. Выявление факта неправомерной обработки персональных данных | Не более 10 рабочих дней с момента выявления | – Прекращение неправомерной обработки; – Уничтожение ПДн (если устранение нарушений невозможно); – Уведомление Субъекта и уполномоченного органа; – Составление Акта об уничтожении ПДн. |
| 6. Решение суда или предписание уполномоченного органа о прекращении обработки | В срок, указанный в судебном акте или предписании | – Исполнение решения/предписания в установленный срок; – Уничтожение персональных данных; – Подтверждение исполнения путем предоставления Акта об уничтожении ПДн и ответа в адрес органа/суда. |
12.1. Обеспечение безопасности персональных данных в ИСПДн «Altcraft Platform» осуществляется Оператором/Обработчиком по поручению в соответствии с требованиями Федерального закона № 152-ФЗ, Постановления Правительства РФ от 01.11.2012 № 1119 и иных нормативных актов Российской Федерации.
12.2. В ИСПДн «Altcraft Platform» реализуется комплекс организационных и технических мер, направленных на обеспечение безопасности персональных данных. Общая структура мер приведена в таблице:
12.2. В ИСПДн «Altcraft Platform» реализуется комплекс организационных и технических мер, направленных на обеспечение безопасности персональных данных. Общая структура мер приведена в таблице:
| 12.2.1. Организационные меры защиты персональных данных | 12.2.2. Технические меры защиты персональных данных |
|---|---|
| Назначение ответственного лица – назначение ответственного сотрудника за организацию обработки и защиту персональных данных в рамках деятельности Обработчика по поручению. | Антивирусная защита – применение средств антивирусной защиты на рабочих станциях и серверах, задействованных в обработке ПДн, с актуальными базами и включённой защитой в реальном времени. |
| Нормативное регулирование – разработка, утверждение и актуализация локальных документов, определяющих политику в отношении обработки и защиты персональных данных, включая Политику обработки персональных данных в ИСПДн «Altcraft Platform». | Разграничение доступа – реализация ролевой модели доступа и политик разграничения прав пользователей к персональным данным. |
| Регламентация процедур – установление внутренних процедур предотвращения, выявления и устранения нарушений законодательства о персональных данных. | Аутентификация и управление доступом – использование механизмов аутентификации пользователей, требований к сложности паролей. |
| Внутренний контроль и аудит – проведение регулярного внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям 152-ФЗ и локальных нормативных актов. | Регистрация и учёт действий – регистрация и учёт всех операций с персональными данными с фиксацией времени, пользователя, действия и объекта обработки. |
| Обучение и информирование персонала – ознакомление работников, допущенных к обработке персональных данных, с требованиями законодательства РФ, локальными актами и правилами защиты персональных данных. | Защита каналов передачи данных – шифрование передаваемой информации с использованием защищённых протоколов (TLS). |
| Разграничение ответственности – разграничение ролей и полномочий сотрудников, участвующих в обеспечении функционирования ИСПДн «Altcraft Platform». | Защита инфраструктуры – применение технических мер защиты серверов, СУБД, сетевой инфраструктуры от несанкционированного доступа и вредоносных воздействий. |
| Контроль соблюдения мер – контроль за соблюдением установленных организационных мер и уровня защищённости ИСПДн «Altcraft Platform». | Средства защиты информации – применение средств защиты информации, отвечающих установленным требованиям безопасности и пригодных для использования по назначению, с подтверждением соответствия в предусмотренных случаях. |
| Обнаружение инцидентов – обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по их устранению. | |
| Резервное копирование – регулярное резервное копирование персональных данных и обеспечение возможности их восстановления. | |
| Восстановление данных – восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа или технических сбоев. | |
| Оценка эффективности мер – оценка эффективности реализуемых мер защиты до ввода ИСПДн «Altcraft Platform» в эксплуатацию и при существенных изменениях. |
12.3. ИСПДн «Altcraft Platform» размещается в центре обработки данных, расположенном на территории Российской Федерации, что обеспечивает выполнение требований части 5 статьи 18 Федерального закона № 152-ФЗ.
12.4. Хранение и обработка данных в ИСПДн «Altcraft Platform» осуществляется в аккредитованном и лицензированном ЦОД (1) , предоставляемом ООО «ОнТелеком» (ОГРН: 1146229000763), инфраструктура которого соответствует требованиям по информационной безопасности, включая стандарты ФСТЭК и ФСБ Российской Федерации (Аттестат соответствия требованиям по защите информации №089.62706.2024 от 06.12.2024 г.). Данный ЦОД оснащён системами физической защиты, контроля доступа, пожарной безопасности и резервного электропитания, что обеспечивает непрерывность и надёжность работы.
12.5. Администрирование ИСПДн «Altcraft Platform» осуществляется исключительно уполномоченными сотрудниками Оператора/Обработчика по поручению. Доступ третьих лиц к данным Лицензиата без его поручения не предоставляется.
12.6. Оператором/Обработчиком по поручению осуществляется постоянный мониторинг событий информационной безопасности с целью выявления:
✔ несанкционированного доступа к персональным данным;
✔ нарушений правил доступа;
✔ аномальной активности пользователей и систем.
12.7. Эффективность реализуемых мер защиты персональных данных оценивается:
● до ввода ИСПДн «Altcraft Platform» в эксплуатацию;
● при внесении существенных изменений в архитектуру или функциональные возможности ИСПДн «Altcraft Platform»;
● по результатам внутренних проверок и аудитов.
12.4. Хранение и обработка данных в ИСПДн «Altcraft Platform» осуществляется в аккредитованном и лицензированном ЦОД (1) , предоставляемом ООО «ОнТелеком» (ОГРН: 1146229000763), инфраструктура которого соответствует требованиям по информационной безопасности, включая стандарты ФСТЭК и ФСБ Российской Федерации (Аттестат соответствия требованиям по защите информации №089.62706.2024 от 06.12.2024 г.). Данный ЦОД оснащён системами физической защиты, контроля доступа, пожарной безопасности и резервного электропитания, что обеспечивает непрерывность и надёжность работы.
12.5. Администрирование ИСПДн «Altcraft Platform» осуществляется исключительно уполномоченными сотрудниками Оператора/Обработчика по поручению. Доступ третьих лиц к данным Лицензиата без его поручения не предоставляется.
12.6. Оператором/Обработчиком по поручению осуществляется постоянный мониторинг событий информационной безопасности с целью выявления:
✔ несанкционированного доступа к персональным данным;
✔ нарушений правил доступа;
✔ аномальной активности пользователей и систем.
12.7. Эффективность реализуемых мер защиты персональных данных оценивается:
● до ввода ИСПДн «Altcraft Platform» в эксплуатацию;
● при внесении существенных изменений в архитектуру или функциональные возможности ИСПДн «Altcraft Platform»;
● по результатам внутренних проверок и аудитов.
(1) Лицензия на оказание телематических услуг связи №144624 от 30 августа 2016 г., выданная Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций.
Лицензия на предоставление услуг связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации №114555 от 13 февраля 2014 г., выданная Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций.
Лицензия на предоставление услуг связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации №114555 от 13 февраля 2014 г., выданная Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций.
13.1. Настоящая Политика является внутренним документом Оператора, определяющим порядок обработки и защиты персональных данных в рамках функционирования ИСПДн «Altcraft Platform». Политика подлежит опубликованию в общедоступной форме и размещается на официальном сайте Оператора в сети Интернет.
13.2. Настоящая Политика может быть пересмотрена в любом из следующих случаев:
✔ при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;
✔ в случаях получения предписаний от компетентных государственных органов на устранение несоответствий, затрагивающих область действия Политики;
✔ по решению руководства Оператора;
✔ при изменении целей и сроков обработки персональных данных Оператором или Оператором Лицензиатом;
✔ при изменении организационной структуры, структуры информационных и/или телекоммуникационных систем (или введения новых);
✔ при применении новых технологий обработки и защиты персональных данных;
✔ при появлении необходимости в изменении процесса обработки персональных данных, связанной с деятельностью Оператора и (или) Оператора Лицензиата;
✔ при появлении необходимости в изменении перечня категорий персональных данных, обрабатываемых в ИСПДн «Altcraft Platform».
13.3. В случае внесения изменений в Политику, в ее актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее утверждения соответствующим распорядительным документом уполномоченного сотрудника Оператора, если иное не предусмотрено таким документом.
13.4. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных Оператора.
13.5. Ответственность должностных лиц Оператора, а также Пользователей, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними локальными актами Оператора.
13.6. Предыдущие редакции настоящей Политики хранятся в архиве Оператора и доступны по запросу Субъектов персональных данных и/или уполномоченных органов в течение установленного законодательством срока.
13.2. Настоящая Политика может быть пересмотрена в любом из следующих случаев:
✔ при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;
✔ в случаях получения предписаний от компетентных государственных органов на устранение несоответствий, затрагивающих область действия Политики;
✔ по решению руководства Оператора;
✔ при изменении целей и сроков обработки персональных данных Оператором или Оператором Лицензиатом;
✔ при изменении организационной структуры, структуры информационных и/или телекоммуникационных систем (или введения новых);
✔ при применении новых технологий обработки и защиты персональных данных;
✔ при появлении необходимости в изменении процесса обработки персональных данных, связанной с деятельностью Оператора и (или) Оператора Лицензиата;
✔ при появлении необходимости в изменении перечня категорий персональных данных, обрабатываемых в ИСПДн «Altcraft Platform».
13.3. В случае внесения изменений в Политику, в ее актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее утверждения соответствующим распорядительным документом уполномоченного сотрудника Оператора, если иное не предусмотрено таким документом.
13.4. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных Оператора.
13.5. Ответственность должностных лиц Оператора, а также Пользователей, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними локальными актами Оператора.
13.6. Предыдущие редакции настоящей Политики хранятся в архиве Оператора и доступны по запросу Субъектов персональных данных и/или уполномоченных органов в течение установленного законодательством срока.