Политика в отношении обработки и защиты персональных данных, обрабатываемых ООО «Саквояж»

г. Москва, 09.12.2019

1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. «Политика в отношении обработки и защиты персональных данных участников Программ лояльности» (далее – Политика) определяет подходы к обработке персональных данных (далее – ПДн) физических лиц, цели и правовое основание обработки ПДн, категории ПДн, обрабатываемых в ООО «Саквояж» (далее – Оператор).
1.2. Оператор является оператором, осуществляющим обработку ПДн.
1.3. Важным условием реализации целей деятельности Оператора, является обеспечение необходимого и достаточного уровня информационной безопасности ПДн.
1.4. Оператор осуществляет обработку ПДн на законной и справедливой основе, в частности, в соответствии с требованиями Федерального закона Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г.
1.5. Оператором разработаны и введены в действие документы, устанавливающие порядок обработки и защиты ПДн, которые обеспечивают соответствие требованиям Федерального закона Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятых в соответствии с ним нормативных правовых актов и позволяют обеспечить защиту ПДн, обрабатываемых Оператором.
1.6. Настоящая Политика предназначена для изучения и неукоснительного исполнения всеми лицами, участвующими в процессе обработки и защиты ПДн, а также подлежит неограниченному распространению, доведению до сведения заинтересованных лиц.
1.7. Политика подлежит изменению, дополнению в случае появления новых и изменения существующих законодательных актов и специальных нормативных документов об обработке и защите ПДн. Новая редакция Политики вступает в силу с момента ее опубликования или обеспечения неограниченного доступа иным образом, если иное не предусмотрено новой редакцией Политики.
1.8. Политика распространяется на ПДн физических лиц, полученные как до, так и после вступления в силу настоящей Политики.
1.9. Настоящая Политика определяет общие принципы, порядок и условия обработки ПДн физических лиц, чьи ПДн обрабатываются Оператором, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его ПДн.

2. ЦЕЛИ ПОЛИТИКИ
2.1. Целью настоящей Политики является поддержание деловой репутации Оператора, обеспечение и выполнение требований законодательства РФ в области обработки и защиты ПДн, состоящих из комплекса правовых, организационных и технических мер, направленных на обеспечение защиты прав и свобод субъектов при обработке их ПДн.

3. ЗАДАЧИ
3.1. Задачами настоящей Политики являются:
• определение правового обоснования обработки ПДн субъектов;
• определение целей обработки ПДн;
• определение общих принципов, используемых при обработке ПДн
• определение обязательных условий, необходимых для осуществления обработки ПДн;
• закрепление обязанностей Оператора как оператора ПДн;
• закрепление ответственности за нарушение требований настоящей Политики;
• предоставление справочной информации.
3.2. Политика разработана в соответствии со статьей 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и содержит сведения о реализуемых требованиях к обработке и защите ПДн.

4. ПРАВОВОЕ ОБОСНОВАНИЕ ОБРАБОТКИ ПДН СУБЪЕКТОВ
4.1. Правовым основанием обработки ПДн субъектов в Операторе являются:
4.1.1. Осуществление возложенных на Оператора законодательством РФ функций в соответствии с Гражданским кодексом РФ, Налоговым кодексом РФ, федеральными законами и иными нормативными правовыми актами России, в том числе, но не ограничиваясь:
4.1.1.1. Федеральным законом от 27.07.2006 No 152-ФЗ «О персональных данных»,
4.1.1.2. Постановлением Правительства РФ от 15.09.2008 г. No 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
4.1.1.3. Постановлением Правительства РФ No 1119 от 1 ноября 2012 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
4.1.1.4. Согласием субъектов ПДн на осуществление обработки ПДн. Согласием Субъекта ПДн на основании принятия Условий Участия или согласия на обработку ПДн, Оператор устанавливает полученные действия Субъекта ПДн в форме:
• совершения конклюдентных действий, соглашаясь с условиями электронных документов: Условия Участия (публичная оферта), Политика по обработке ПДн;
• совершения конклюдентных действий, после регистрации в программе лояльности, а именно: совершение любых операций в программе лояльности, предусмотренных Условиями Участия;
• подписания электронной подписью в виде: ввода СМС-кода, проставления в чек-боксе «галочки», отправления электронного письма с электронной почты участника/заявителя, перехода по электронной ссылке в СМС-сообщении, PUSH-сообщении, e-mail сообщения;
• направления электронных писем;
• направления электронных обращений с использование форм обратной связи на сайте программы лояльности и/или в мобильном приложении.

5. ЦЕЛИ ОБРАБОТКИ ПДН
5.1. Цели обработки ПДн субъектов Оператором:
5.1.1. Заключение и исполнение публичной оферты (Условия Участия) Программы лояльности «Саквояж» (далее – Программа лояльности, ПЛ) и (или) реализации маркетинговых акций;
5.1.2. Реализация участия клиентов в Программах лояльности, маркетинговых акциях, а также для маркетинговых коммуникаций с ними посредством: СМС-сообщений, PUSH-уведомлений, сообщений электронной почты, почтовой и телефонной связи, иных уведомлений;
5.1.3. Передача Оператором ПДн или поручения их обработки третьим лицам в соответствии с действующим законодательством РФ;
5.1.4. Предоставление сведений уведомительного или маркетингового характера, в том числе о новых продуктах, услугах, проводимых маркетинговых акциях и мероприятиях (по которым имеется предварительное согласие субъекта ПДн на их получение);
5.1.5. Осуществление функций, полномочий и обязанностей, возложенных на Оператора действующим законодательством РФ.
5.2. Объем и характер обрабатываемых ПДн, способы обработки ПДн соответствуют целям обработки ПДн Субъектов ПДн.
5.3. Оператор не использует ПДн Субъектов ПДн в целях причинения им имущественного и морального вреда, затруднения реализации ими своих прав и свобод.
5.4. Обработка и хранение ПДн осуществляется не дольше, чем этого требуют цели их обработки для участия Клиента в ПЛ.

6. ПРИНЦИПЫ ОБРАБОТКИ ПДН
6.1. Обработка ПДн Оператором осуществляется на основе следующих принципов:
• законности и справедливости целей и способов Обработки ПДн
• соответствия целей Обработки ПДн, содержания и объемов обрабатываемых ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям Оператора;
• обеспечения точности, актуальности и достаточности ПДн по отношению к целям их обработки, недопустимости избыточности обрабатываемых ПДн по отношению к заявленным целям их обработки. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
• недопустимости объединения баз данных ПДн, обработка которых осуществляется в целях, несовместимых между собой;
• обеспечения уничтожения либо обезличивания ПДн по достижению целей их обработки или в случае утраты необходимости в достижении целей.
6.2. При определении состава обрабатываемых ПДн Субъектов ПДн Оператор руководствуется минимально необходимым составом ПДн для достижения целей их получения.
6.3. Хранение ПДн осуществляется в форме, позволяющей определить Субъекта ПДн, не дольше, чем этого требуют цели их обработки для участия в ПЛ.
6.4. Обрабатываемые Оператором ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, за исключением случаев, предусмотренных действующим законодательством РФ.
6.5. Оператором запрещена обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
6.6. Оператором не производится обработка Биометрических ПДн.
6.7. Оператором не обрабатываются специальные категории ПДн.
6.8. Оператором не осуществляется трансграничная передачи ПДн.
6.9. У Оператора отсутствуют процессы принятия решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки ПДн.
6.10. Оператор вправе обрабатывать ПДн субъектов ПДн без их согласия в случаях, предусмотренных пунктами 2) – 11) ст. 6 Федерального закона Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г.
6.11. Работники Оператора (в том числе сотрудники, работающие удаленно) ознакомлены под роспись с документами Оператора, устанавливающими порядок обработки и защиты ПДн, а также права и обязанности, возникающие при осуществлении обработки и защиты ПДн.
6.12. Работникам Оператора запрещается осуществлять сбор, обработку и хранение ПДн субъектов Российской Федерации в целях, лежащих за пределами целей обработки ПДн.
6.13. ПДн поступают Оператору непосредственно от субъекта ПДн или от лиц, не являющихся субъектами ПДн, на основании договора. При этом Оператор выполняет все требования к осуществлению обработки таких данных, предусмотренные Федеральным законом Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г., а также обеспечивает безопасность полученных ПДн.
6.14. Оператор осуществляет передачу ПДн третьим лицам в соответствии с требованиями Федерального закона Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г., а также в рамках исполнения норм действующего законодательства Российской Федерации.
6.15. Вышеуказанные принципы применяются ко всем видам Обработки ПДн – как с использованием средств автоматизации, так и без использования таковых.

7. УСЛОВИЯ ОБРАБОТКИ ПДН
7.1. Обработка ПДн осуществляется в случае, если выполняется одно из следующих условий:
• обработка ПДн осуществляется с согласия Субъекта ПДн.
• обработка ПДн необходима для исполнения договора, стороной которого является Субъект ПДн.
• обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн, за исключением целей продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с участником ПЛ с помощью средств связи.
• осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен Субъектом ПДн либо по его просьбе.
• осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с действующим законодательством РФ.

8. КАТЕГОРИИ ПДН
8.1. Оператором обрабатываются следующие категории ПДн:
• имя;
• год, месяц и дата рождения;
• телефон;
• e-mail;
• пол;
• обезличенные данных о посетителях (в т.ч. файлы «cookie») с помощью сервисов интернет-статистики.
8.2. Сведениями, составляющими ПДн, является любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
8.3. Оператор осуществляет обработку ПДн сотрудников, покупателей, поставщиков и иных лиц, участвующих в деятельности Оператора.
8.4. Оператор обрабатывает обезличенные данные о субъекте ПДн в случае, если это разрешено в настройках браузера субъекта ПДн (включено сохранение файлов «cookie» и использование технологии JavaScript).

9. ПОРЯДОК ОБРАБОТКИ ПДН
9.1. Обработка ПДн осуществляется лицами, уполномоченными на то Оператором с согласия Субъекта ПДн. При этом указанные лица имеют право доступа только к тем ПДн Субъектов ПДн, которые необходимы им для выполнения конкретных обязанностей Оператора перед Субъектом ПДн.
9.2. Оператор вправе поручить Обработку ПДн, указанных в Анкете, заполняемой при регистрации в ПЛ, и/или собранных в период действия ПЛ в соответствии с Условиями Участия и/или проводимыми акциями, третьей стороне, с согласия Субъекта ПДн и в иных случаях, предусмотренных действующим законодательством РФ, на основании заключаемого с этой стороной договора. Третья сторона, осуществляющая Обработку ПДн по договору, обязана соблюдать принципы и правила Обработки ПДн, предусмотренные Федеральным законом «О персональных данных», обеспечивая при обработке их конфиденциальность, целостность и доступность.
9.3. Оператор получает ПДн от самого Субъекта ПДн.
9.4. Передача ПДн третьим лицам, за исключением надзорных органов и случаев, предусмотренных Условиями Участия, возможна только лицам, указанным в Анкете, заполняемой для участия в ПЛ и/или по прямому указанию Субъекта ПДн на передачу его ПДн третьим лицам.

10. ПРАВА СУБЪЕКТА ПДН
10.1. Субъект ПДн вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются не полными, устаревшими, неточными, незаконно полученными, не являются необходимыми для заявленных целей обработки или в случае решения участника ПЛ о прекращении участия в ПЛ и направлении соответствующего уведомления Оператору в соответствии с Условиями Участия, а также принимать предусмотренные действующим законодательством РФ меры.
10.2. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
• подтверждение факта обработки ПДн Оператором;
• правовые основания и цели обработки ПДн;
• цели и применяемые Оператором способы обработки ПДн;
• наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании Федерального закона «О персональных данных»;
• перечень обрабатываемых ПДн, относящихся к соответствующему субъекту ПДн, от которого поступил запрос, источник их получения, если иной порядок предоставления таких данных не предусмотрен Федеральным законом «О персональных данных»;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом «О персональных данных»;
• сроки обработки ПДн, в том числе сроки их хранения;
• порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом «О персональных данных»;
• информацию о ранее осуществленной или о предполагаемой трансграничной передаче ПДн;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
10.3. Субъект ПДн имеет право обжаловать действия или бездействие Оператора в уполномоченном органе по защите прав субъектов ПДн или в судебном порядке в случае, если Субъект ПДн считает, что Оператор осуществляет обработку его ПДн с нарушением требований закона о ПДн или иным образом нарушает его права и свободы.
10.4. Субъект персональных данных вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
10.5. Субъект ПДн имеет также право на защиту своих прав и законных интересов любыми способами, установленными законом.
10.6. Субъект ПДн при обращении в Оператор по вопросам обработки и защиты его ПДн может направить в адрес Оператора письменный запрос.
10.7. Сведения, касающиеся обработки ПДн субъекта, предоставляются ему Оператором в доступной форме, и не содержат ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.
10.8. Сведения, касающиеся обработки ПДн субъекта, предоставляются ему или его представителю Оператором при обращении либо при получении запроса субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
10.9. В случае если сведения, касающиеся обработки ПДн субъекта, а также обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно к Оператору или направить повторный запрос не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.
10.10. Субъект ПДн вправе обратиться повторно к Оператору или направить повторный запрос в целях получения сведений, касающихся обработки ПДн субъекта, а также в целях ознакомления с обрабатываемыми ПДн до истечения тридцати дней после первоначального обращения, в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, касающимися обработки ПДн субъекта, должен содержать обоснование направления повторного запроса.
10.11. Право Субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе, если доступ Субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.
10.12. Оператор вправе отказать Субъекту ПДн в выполнении повторного запроса сведений о его ПДн, не соответствующего условиям действующего законодательства РФ. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.
10.13. Если субъект ПДн считает, что Оператор осуществляет обработку его ПДн с нарушением требований федерального закона или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.
10.14. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

11. ОБЯЗАННОСТИ ОПЕРАТОРА
11.1. Оператор несет обязанности, предусмотренные главой 4 Федерального закона «О персональных данных», а именно: при сборе, обработке и защите ПДн Оператор обязуется:
11.1.1. Предоставлять ПДн Субъекту в доступной форме, не содержащей̆ ПДн, относящихся к другим Субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.
11.1.2. Предоставлять ПДн Субъекту или его представителю при обращении, в течение 30 (Тридцати) дней с даты получения запроса Субъекта ПДн или его представителя.
11.1.3. Вносить необходимые изменения в ПДн, уничтожать их, уведомлять субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принимать разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы, в сроки и в случаях, предусмотренных Федеральным законом Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г.;
11.1.4. Разъяснять письменно Субъекту ПДн юридические последствия отказа предоставить его ПДн, в случае если предоставление ПДн является обязательным в соответствии с федеральным законом.
11.1.5. Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законом о ПДн и принятыми в соответствии с ним нормативными правовыми актами.
11.1.6. Разместить на Сайте ПЛ настоящую Политику и обеспечивать неограниченный доступ к ней.
11.1.7. Представлять документы, определяющие состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, а также подтверждать принятие соответствующих мер по запросу уполномоченного органа по защите прав Субъектов ПДн.
11.1.8. Принимать необходимые правовые, организационные и технические меры либо обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
11.1.9. В случае подтверждения факта неточности ПДн и на основании сведений, представленных Субъектом ПДн или его представителем, либо уполномоченным органом по защите прав субъектов ПДн уточнять ПДн Субъекта, либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокировку ПДн.
11.1.10. В случае выявления неправомерной обработки ПДн, осуществляемой Оператором или лицом, действующим по поручению Оператора, в срок, не превышающий трех рабочих дней с даты этого выявления, Оператор обязуется прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Оператора. В случае если обеспечить правомерность обработки ПДн невозможно, Оператор в срок, не превышающий десяти рабочих дней от даты выявления неправомерной обработки ПДн, обязуется уничтожить такие ПДн или обеспечить их уничтожение.
11.1.11. Уведомлять об устранении допущенных нарушений или об уничтожении ПДн Субъект ПДн или его представителя, а в случае, если обращение Субъекта ПДн или его представителя, либо запрос уполномоченного органа по защите прав Субъектов ПДн были направлены уполномоченным органом по защите прав Субъектов ПДн, также уведомлять указанный орган.
11.1.12. Прекратить обработку ПДн в случае достижения цели обработки ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора), уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати календарных дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект ПДн, иным соглашением между Оператором и Субъектом ПДн, либо если Оператор не вправе осуществлять обработку ПДн без согласия Субъекта ПДн на основаниях, предусмотренных Федеральным законом «О персональных данных», или другими федеральными законами.
11.1.13. Прекратить обработку ПДн Субъекта в случае отзыва им согласия на обработку его ПДн или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати календарных дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект ПДн, иным соглашением между Оператором и Субъектом ПДн либо если Оператор не вправе осуществлять обработку ПДн без согласия Субъекта ПДн на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.
11.1.14. В случае отсутствия возможности уничтожения ПДн в течение срока, указанного в пунктах настоящего раздела, осуществлять блокирование таких ПДн или обеспечивать их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
11.1.15. Не раскрывать третьим лицам, не указанным в анкетах, заполняемых при регистрации в ПЛ или в период действия ПЛ, и не распространять ПДн без письменного согласия Субъекта ПДн, если иное не предусмотрено федеральным законом.
11.1.16. При передаче ПДн третьим лицам, указанным в анкетах, заполняемых при регистрации в ПЛ или в период действия ПЛ на основании договора, существенным условием такого договора является обязанность обеспечения третьим лицом конфиденциальности ПДн и безопасности ПДн при их обработке.
11.1.17. Документировать информационные технологические процессы, в рамках которых обрабатываются ПДн в информационных системах ПДн.
11.1.18. Направлять уведомления в уполномоченный орган по защите прав Субъектов ПДн в случаях, установленных Федеральным законом «О персональных данных».
11.1.19. В соответствии со статьей 18.1. Федерального закона «О персональных данных» Оператор самостоятельно определяет состав, и перечень мер, необходимых и достаточных для обеспечения выполнения требований законодательства РФ в области ПДн.
11.2. Оператором для обеспечения выполнения обязанностей, предусмотренных Федеральным законом Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятыми в соответствии с ним нормативными правовыми актами, приняты следующие необходимые и достаточные меры:
• применены правовые, организационные и технические меры по обеспечению безопасности ПДн;
• осуществляется внутренний контроль соответствия обработки ПДн требованиям Федерального закона Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятых в соответствии с ним нормативных правовых актов, настоящей Политики, локальных актов Оператора;
• проведена оценка вреда, который может быть причинен субъектам ПДн в случае нарушения требований федерального законодательства о ПДн, произведено соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных требованиями Федерального закона Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятых в соответствии с ним нормативных правовых актов;
• работники Оператора, непосредственно осуществляющие обработку ПДн, ознакомлены с положениями Федерального закона Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятых в соответствии с ним нормативных правовых актов, настоящей Политики и локальных актов по вопросам обработки ПДн.
11.3. По запросу уполномоченного органа по защите прав субъектов ПДн Оператором обеспечена готовность подтвердить принятие мер, предусмотренных Федеральным законом Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006 г. и принятыми в соответствии с ним нормативными правовыми актами.

12. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ОБЩЕСТВОМ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПДН
12.1. Меры по обеспечению безопасности ПДн при их обработке, применяемые Оператором, организовываются и реализуются в соответствии с требованиями, предусмотренными ст. 19 Федерального закона «О персональных данных».
12.2. Выбор требований к защите ПДн, обрабатываемых в информационных системах, осуществляется в соответствии с организационно-распорядительными и методическими документами Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности, в зависимости от результатов классификации указанных систем.
12.3. Под защитой ПДн Субъекта понимается комплекс организационно- технических мер, направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн Субъектов, а также от иных неправомерных действий в отношении ПДн Субъекта.
12.4. Оператор при защите ПДн принимает все необходимые организационно- технические меры, в том числе:
• применяет шифровальные (криптографические) средства;
• применяет средства антивирусной защиты;
• проводит анализ и контроль защищенности;
• осуществляет обнаружение и предотвращение вторжений;
• осуществляет управление доступом;
• осуществляет регистрацию и учет доступа к ПДн, к носителям ПДн;
• обеспечивает целостность;
• организовывает разработку и поддержание в актуальном состоянии внутренних – методических документов, регулирующих защиту ПДн.

13. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ НАСТОЯЩЕЙ ПОЛИТИКИ
13.1. Оператор и третьи лица, обрабатывающие ПДн по поручению Оператора, несут гражданскую, уголовную, административную и иную предусмотренную законодательством РФ ответственность за нарушения режима защиты, обработки и порядка использования этих ПДн.

14. ИЗМЕНЕНИЕ ПОЛИТИКИ
14.1. Оператор имеет право вносить изменения в настоящую Политику.
14.2. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции.
14.3. Новая редакция Политики вступает в силу с момента ее размещения на сайте Оператора, если иное не предусмотрено новой редакцией Политики.

15. СПРАВОЧНАЯ ИНФОРМАЦИЯ
15.1. Если после прочтения настоящей Политики у Субъекта ПДн остались вопросы, то указанное лицо вправе получить разъяснения по всем интересующим вопросам направив:
• письмо на адрес электронной почты help@bonusbag.ru;
• письмо по почте на адрес: 119072, Москва г., Берсеневская набережная, дом 8, строение 1, помещение II, этаж 3, комната 7.
15.2. В случае направления письма и (или) официального запроса Оператору, в тексте запроса необходимо указать:
• номер основного документа, удостоверяющего личность гражданина (или его законного представителя), сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие отношения с Оператором, например, дата акцепта оферты, условное обозначение документа, либо сведения, иным образом подтверждающие факт обработки Оператором ПДн Субъекта;
• подпись Субъекта ПДн или его законного представителя.

16. ССЫЛКИ
• Гражданский кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
• Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Условия Участия ПЛ, размещенные на сайте http://www.bonusbag.ru