1. Настоящей Политикой определяется порядок обработки и защиты персональных данных, установленный у вышеназванного Оператора персональных данных (далее – Оператор).
2. Настоящая политика определяет порядок обработки персональных данных на материальных и электронных носителях, а также порядок обработки персональных данных, полученных на официальном Сайте Оператора https://navigator-biz.ru/, размещенном в сети Интернет, а также всех его поддоменов (далее – «Сайт»).
3. Политика регулирует порядок обработки персональных данных Субъектов персональных данных (далее - Субъект), давших согласие на обработку своих персональных данных и/или обработку персональных данных Оператором на иных законных основаниях (в т.ч. заключение и исполнение договора, акцепт оферты, защита законных прав и интересов и т.д.)
4. Дополнительно Политика устанавливает и разъясняет порядок обработки cookie файлов в отношении данных любых посетителей Сайта (далее - Пользователи) с момента его открытия на устройстве Пользователя.
5. Обращения Оператору по вопросам обработки и защиты персональных данных могут быть направлены по адресу места нахождения Оператора, а также по адресу электронной почты, которые указаны в настоящей Политике.
6. Упорядочение обращения с персональными данными имеет целью обеспечить соблюдение законных прав и интересов Оператора, его работников, контрагентов и третьих лиц в связи с необходимостью обработки сведений, составляющих персональные данные.
7. Обработка персональных данных осуществляется в соответствии с Федеральным законом от 27.07.2006. №152-ФЗ «О персональных данных» (далее – Закон), Гражданским кодексом, Трудовым кодексом, иными законами и подзаконными актами Российской Федерации, а также настоящей Политикой.
8. Оператор вправе принимать иные локальные нормативные акты (далее – ЛНА), регулирующие порядок обработки и защиты персональных данных Оператором (в т.ч. отдельных ИСПДн), его работниками и уполномоченными лицами.
9. Политика о персональных данных должна быть опубликована на Сайте Оператора, а также может быть доступна для ознакомления неограниченному кругу лиц иными способами, согласованными с Оператором.
10. Отдельные положения в области защиты информационных систем персональных данных, а также перечни и списки являются внутренними непубличными документами Оператора и не подлежат опубликованию. В связи с тем, что приложения к настоящей Политике могут содержать сведения о технических мерах защиты персональных данных, а также иные сведения, раскрытие которых может снизить уровень защиты персональных данных, доступ к таким приложениям предоставляется исключительно лицам, в обязанности которых входит работа с соответствующими информационными системами персональных данных.
11. Текст Политики доступен для ознакомления в сети Интернет по ссылке https://navigator-biz.ru/privacy-policy/. Политика о персональных данных опубликована на Сайте Оператора, в том числе на страницах с использованием которых осуществляется сбор персональных данных, а также доступна для ознакомления неограниченному кругу лиц иными способами, согласованными с Оператором.
12. В случае несогласия с условиями Политики Субъект должен немедленно прекратить любое использование Сайта. Отказ от предоставления согласия на обработку персональных данных и/или направление требования о прекращении обработки персональных данных влекут невозможность использования Сайта, а также заключение сделок между Оператором и Субъектом (за исключением случаев, прямо предусмотренных формой регистрации и/или формой согласия).
13. Субъект подтверждает, что принимает условия Политики и дает Оператору информированное и осознанное согласие на обработку своих персональных данных на условиях, предусмотренных Политикой и Законом. Согласие субъекта на обработку персональных данных считается полученным при регистрации субъекта на Сайте и/или при предоставлении Субъектом согласия на обработку данных на Сайте путем нажатия соответствующей кнопки и/или при предоставлении Оператором Субъекту Политики для ознакомления на Сайте и/или рассылки уведомления Субъекту по электронным каналам связи.
14. Сведения о целях обработки, правовых основаниях обработки, объеме и категориях, порядке и условиях обработки персональных данных содержатся в настоящей Политике, а также в приложениях к ней, которые являются ее неотъемлемой частью.

1. Информация, получаемая Оператором, может иметь как материальную, так и электронную форму.
2. Цели и основания обработки персональных данных могут быть установлены в настоящей Политике и/или отдельных положениях об обработке соответствующих ИСПДн.
3. Обработка персональных данных Оператором должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
4. Не допускается объединение ИСПДн, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
5. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
6. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого или выгодоприобретателем, по которому является субъект персональных данных.
8. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
9. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. После того как в отношении определенного набора персональных данных будут выполнены требования Закона о локализации, повторная или дополнительная локализация таких персональных данных не требуется, в связи с достижением целей, установленных Законом.
10. Оператор разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные, а именно: невозможность использования Сайта и/или его отдельных функциональных элементов, а также заключения и исполнения сделок с Оператором.
11. Работники и/или представители Оператора обязаны соблюдать конфиденциальность обрабатываемых персональных данных, предпринимать все необходимые меры для соблюдения правил обработки персональных данных, предусмотренных настоящей Политикой, а также для обеспечения необходимого уровня защиты персональных данных от неправомерного доступа и иных угроз. В случае возникновения внештатной ситуации или отсутствии информации о необходимых действиях по защите персональных данных, работник обязан обратиться к своему непосредственному руководителю для получения необходимых инструкций и/или пояснений.

1. Информация о правовых основаниях обработки и источниках получения персональных данных указывается в настоящей Политике и положениях об отдельных информационных системах персональных данных (ИСПДн).
2. Источниками персональных данных могут являться субъект персональных данных, общедоступные источники персональных данных и иные источники, если иное не предусмотрено в положениях об отдельных ИСПДн.
3. При получении информации о персональных данных от третьих лиц Оператор должен предпринять возможные меры, а также получить заверения и гарантии от третьих лиц, предоставляющих информацию, о том, что обработка персональных данных такими лицами осуществляется в строгом соответствии с действующим законодательством.
4. Оператор не имеет права получать и обрабатывать персональные данные о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни субъекта персональных данных, за исключением случаев, когда субъект персональных данных дал свое прямое согласие в письменной форме на обработку указанных персональных данных, а также в случае, если такие персональные данные сделаны общедоступными субъектом персональных данных.
5. Обработка персональных данных возможна при наличии согласия субъекта персональных данных на обработку его персональных данных.
6. При предоставлении соответствующей формы согласия Оператору в письменном виде (в электронной форме и/или на материальном носителе).
7. Путем заполнения соответствующей формы, расположенной на Сайте Оператора (регистрация, авторизация, подписка на рассылку и т.д.) в момент проставления соответствующей отметки о предоставлении согласия и/или нажатия кнопки “Зарегистрироваться”, “Регистрация” и/или иной аналогичной кнопки.
8. Путем авторизации на Сайте с использованием учетных данных доступа, а также при внесении изменений в учетную запись после регистрации и/или авторизации.
9. Обработка персональных данных возможна без такого согласия Субъекта в случаях, предусмотренных законодательством Российской Федерации.
10. Обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей (в т.ч. исполнение требований НК РФ, ТК РФ и иных законов).
11. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем.
12. Обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
13. Обработка персональных данных осуществляется в статистических или иных исследовательских целях (за исключением обработки персональных данных, в целях продвижения товаров, работ и услуг), при условии обязательного обезличивания персональных данных.
14. В иных случаях, предусмотренных Законом.
15. Соглашаясь с политикой обработки персональных данных (в т.ч. посредством регистрации на Сайте), субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
16. Согласие на обработку персональных данных должно быть конкретным, предметными и информированным, сознательным и однозначным.
17. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
18. Учетные и статистические данные электронной платформы (Сайта) Оператора будут являться достаточным и надлежащим доказательством ознакомления и принятия Субъектом персональных данных правил настоящей Политики.
19. Обработка персональных данных в целях продвижения товаров, работ и услуг путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных. Оператор ведет учет сведений о дате и форме получения согласия субъекта персональных данных на обработку своих данных в вышеназванных целях.
20. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных. Требования субъекта персональных данных о прекращении обработки его персональных данных могут быть направлены Оператору посредством запроса в письменной и/или электронной форме.
21. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных только при наличии оснований, прямо указанных в Законе.

1. Настоящее положение также определяет порядок обработки и хранения файлов Cookie (далее – Данные), установленный у Оператора. Данное положение применяется ко всем интернет-страницам, расположенным в домене Сайта.
2. Файлы Cookie не являются персональными данными и не позволяют идентифицировать пользователя в качестве субъекта персональных данных. Тем не менее, Оператор принимает аналогичные меры для защиты таких Данных.
3. Обработка Данных может осуществляться с помощью сервисов интернет статистики Яндекс.Метрика https://metrika.yandex.ru, Google Analytics https://analytics.google.com, рекламных сетей ВКонтакте https://vk.com, а также иных сервисов.
4. Акцептом условий использования Данных являются любые действия Пользователя по использованию Сайта, в том числе первое открытие любой страницы Сайта в браузере на любом устройстве Пользователя.
5. Использование Сайта, в том числе его просмотр, поиск информации возможно только при условии полного и безоговорочного принятия условий использования Данных.
6. При несогласии Пользователя с условиями использования данных, Пользователь обязан немедленно прекратить использование Сайта.
7. Оператор вправе по своему усмотрению обновлять Положение в отношении файлов cookie. Все изменения будут применяться после публикации новой редакции документа на Сайте, а также рассылки уведомлений в личном кабинете пользователя на Сайте и/или по электронным каналам связи.
8. Порядок обработки файлов cookie определен следующим образом
9. Cookie представляет собой файл, который содержит текстовую информацию и сохраняется веб-браузером при посещении Сайта, что позволяет веб-сайту, открытому в браузере, сохранять и определять интернет-активность Пользователя.
10. Данные используются для обеспечения работы Сайта, отслеживания перемещения Пользователей по Сайту и сохранения аутентификационных данных. На Сайте могут быть использованы следующие типы cookie-файлов:
11. Прямые cookie-файлы, которые создаются непосредственно Сайтом, а также сторонние cookie-файлы, которые создаются иными веб-сайтами.
12. Обязательные cookie-файлы, которые необходимы для технического обеспечения корректной работы веб-сайта.
13. Мониторинговые cookie-файлы, в которых сохраняется информация о работе веб-сайта, включая количество посетителей, проведенное на Сайте время, сообщения об ошибках.
14. Функциональные cookie-файлы, которые улучшают работу веб-сайта путем запоминания предпочтений Пользователя, включая языковые, региональные или иные параметры.
15. Рекламные cookie-файлы, которые позволяют предлагать персонализированную рекламу.
16. Сессионные cookie-файлы являются временными и удаляются при закрытии браузера, а постоянные cookie-файлы остаются на устройстве до тех пор, пока они не будут удалены вручную или автоматически удалены устройством Пользователя.
17. Сайт может содержать и использовать веб-маяки и аналогичные технологии, которые представляют собой прозрачное изображение размером 1х1 пиксель, которое размещается на Сайте или в электронном письме и помогает анализировать поведение Пользователей.
18. Файлы cookie могут использоваться для определения Пользователя, при этом Данные ни при каких обстоятельствах не используются для определения личности пользователя и не являются персональными данными.
19. Некоторые файлы cookie, могут обрабатываться в обезличенной форме с участием сторонних сервисов и третьих лиц (информационными, рекламными, аналитическими партнерами), которые могут обрабатывать и объединять файлы cookie, собранные на Сайте, с другой информацией, предоставленной Пользователем и/или собранной с других веб-сайтов.
20. Использование Сайта подразумевает полное и информированное согласие Пользователя на обработку Данных Оператором в порядке и на условиях, установленных Положением. Сбор и обработка Данных осуществляются автоматически при использовании Сайта. Согласие субъекта на обработку персональных данных считается полученным при регистрации субъекта на Сайте и/или при предоставлении Субъектом согласия на обработку данных на Сайте путем нажатия соответствующей кнопки и/или при предоставлении Оператором Субъекту Политики для ознакомления на Сайте и/или рассылки уведомления Субъекту по электронным каналам связи.
21. В случае отказа Пользователя от предоставления права использования Данных Оператором, Пользователь вправе в любое время самостоятельно отключить возможность использования файлов Cookie и иных данных о Пользователе, используемом браузере, устройстве, с которого осуществляется использование Сайта, настроить иные параметры использования данных на своем браузере и/или устройстве, а также вправе отказаться от использования Сайта.
22. Согласие распространяется на любое действие (операцию) или совокупность действий (операций) включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, распространение, передачу, блокирование, удаление и уничтожение.
23. В настройках браузера Пользователь может установить уведомления об обработке Данных или полностью запретить их обработку. При этом, отключение cookie-файлов может повлиять на корректную работу Сайта.
24. Сайт использует сеансовые и постоянные файлы cookie. Сеансовые файлы cookie хранятся временно и удаляются после закрытия браузера. Постоянные файлы cookie сохраняются после завершения сеанса и обрабатываются до момента отзыва согласия Пользователя на обработку Данных.
25. Пользователь имеет право получать информацию об обработке Оператором файлов cookie на Сайте; требовать исправления неточных файлов cookie Пользователя; требовать удаления файлов cookie Пользователя; ограничивать обработку файлов cookie при наличии технической возможности и в случае, если это допускается в соответствии с действующим законодательством.
26. Данные используются для контроля трафика, анализа использования Сайта и улучшения его работы.
27. Пользователям следует принимать во внимание, что третьи лица могут использовать файлы cookie, собранные на Сайте, для иных целей, в частности для настройки предпочтений Пользователя при использовании других сайтов, отображения наиболее релевантной рекламы, оценки активности рекламных кампаний и отслеживания действий Пользователя на других сайтах. Оператор не несет ответственности за действия третьих лиц при использовании Данных на сторонних сайтах.
28. Оператор не использует системы автоматического принятия решений при обработке файлов cookie на Сайте.
29. Обработка файлов cookie на Сайте может также предполагать обработку таких файлов третьими лицами в случае интеграции сервисов Сайта с сервисами и сайтами третьих лиц.
30. Для определения порядка и условий обработки Данных сторонними сайтами и сервисами Пользователю необходимо напрямую связаться с соответствующими операторами данных.
31. Оператор вправе осуществлять интеграцию сторонних сервисов на Сайт, в результате чего, обработка собранных cookie-файлов будет осуществляться третьими лицами в порядке и на условиях, определяемых такими лицами.
32. В связи с вышеизложенным обработка файлов cookie может осуществляться за пределами страны Пользователя.

1. Отдельные положения об информационных системах персональных данных и/или согласия на обработку персональных данных могут предусматривать возможность передачи персональных данных Субъекта третьим лицам.
2. При передаче персональных данных Оператор должен соблюдать следующие требования:
3. Не сообщать персональные данные субъекта персональных данных в коммерческих целях без согласия субъекта персональных данных.
4. Предупредить лиц, получивших персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц заверений о том, что это правило соблюдено. Лица, получившие персональные данные субъекта персональных данных, обязаны соблюдать режим конфиденциальности ПДн.
5. Разрешать доступ к персональным данным субъекта персональных данных только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
6. Оператор вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора.
7. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом.
8. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных, в том числе требование об уведомлении оператора о случаях выявления фактов неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.
9. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать повторное согласие субъекта персональных данных на обработку его персональных данных.
10. В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед Оператором.
11. Функционал Сайта может предусматривать возможность доведения Субъектом/Пользователем до всеобщего сведения персональных и иных данных Субъекта/Пользователя. Использование указанного функционала осуществляется Субъектом/Пользователем по своему усмотрению и в собственном интересе. Оператор не несет ответственности за защиту данных, размещенных Субъектом/Пользователем в публичном доступе.

1. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных в порядке, определенном в соответствующих положениях об информационных системах персональных данных.
2. Обработка персональных данных, содержащихся в ИСПДн либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
3. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в ИСПДн либо были извлечены из нее.
4. При обработке персональных данных Оператором не допускается фиксация на одном материальном носителе и/или в одной ИСПДн персональных данных, цели обработки которых заведомо не совместимы.
5. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных.
6. Уничтожение и/или блокирование персональных данных может производиться любым способом, исключающим дальнейшую обработку этих персональных данных, в том числе путем физического уничтожения материальных носителей и безвозвратного удаления данных с электронного носителя без возможности восстановления таких данных.
7. Уничтожение и/или блокирование персональных данных осуществляются лицом, ответственным за защиту соответствующей ИСПДн.
8. Уточнение персональных данных производится путем обновления или изменения данных на соответствующем носителе. Если такой порядок не допускается техническими особенностями носителя, то уточнение персональных данных осуществляется путем фиксации на том же носителе сведений о вносимых изменениях либо путем изготовления нового носителя с уточненными персональными данными.
9. При хранении материальных и электронных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Оператором отдельно для каждой ИСПДн.

1. Оператор принимает необходимые правовые, организационные и технические меры и обеспечивает их обновление для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
2. Осуществление организационных и правовых мер по защите персональных данных и установлению порядка обработки персональных данных Оператором осуществляется лицом, уполномоченным руководителем Оператора.
3. Осуществление технических и иных мер по защите персональных данных, содержащихся в отдельных ИСПДн, осуществляется лицом, уполномоченным руководителем Оператора соответствующим приказом.
4. Перечень лиц, имеющих право доступа к отдельным ИСПДн устанавливается в журналах учета (перечнях) лиц, имеющих соответствующий доступ.
5. Право доступа к персональным данным также может быть предоставлено иным лицам, перечисленным в журнале лиц, имеющих доступ к персональным данным.
6. Порядок хранения материальных и электронных носителей персональных данных и ИСПДн, а также перечень обрабатываемых персональных данных и цели обработки персональных данных устанавливаются в положениях об отдельных ИСПДн.
7. Обработка персональных данных должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных и установить перечень лиц, осуществляющих обработку персональных данных и лиц, имеющих доступ к персональным данным.
8. Оператор ведет перечни действующих локальных нормативных актов, ИСПДн, а также перечни лиц, ответственных за защиту персональных данных, и лиц, имеющих доступ к ИСПДн, а также иные перечни, при наличии необходимости ведения соответствующего учета. Ведение перечней может осуществляться в электронном виде и/или на материальных носителях.
9. Лицо, ответственное за организацию обработки персональных данных обязано:
10. Организовывать работу Оператора по разработке и принятию организационно-распорядительных документов, регламентирующих деятельность по обработке и защите персональных данных, поддержанию их в актуальном состоянии;
11. Организовывать принятие Оператором правовых, организационных и технических мер для защиты персональных данных;
12. Проводить инструктаж работников, допущенных к работе с информационными системами персональных данных;
13. Осуществлять внутренний контроль за соблюдением работниками организации законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, а также инициировать проведение служебных расследований по фактам нарушения установленных правил обработки и защиты персональных данных;
14. Представлять интересы Оператора при проверках надзорных органов в сфере обработки персональных данных, а также организовывать прием и обработку обращений субъектов персональных данных.
15. Лицо, ответственное за обеспечение безопасности отдельной информационное системы персональных данных обязано:
16. Обеспечить применение технических мер защиты персональных данных, сохранность и резервное копирование данных, а также обеспечивать функционирование и безопасность средств защиты информации;
17. Контролировать выполнение установленных правил обеспечения защиты персональных данных лицами, допущенными к обработке персональных данных в соответствующей ИСПДн;
18. Инициировать проведение служебных расследований по фактам нарушения установленных правил обеспечения защиты персональных данных, несанкционированного доступа к персональным данным;
19. Контролировать и обеспечивать правомерный доступ к ИСПДн, контролировать доступ в помещения с носителями ИСПДн, обеспечить доступ к защищаемой информации всем группам пользователей ИСПДн согласно их правам доступа при получении оформленного соответствующим образом разрешения, а также не допускать к работе на элементах ИСПДн посторонних лиц.

1. Состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей Оператора по защите персональных данных включает следующие обязанности:
2. утверждение перечня ИСПДн и назначение лиц, ответственных за организацию обработки и защиты персональных данных;
3. издание документов, определяющих политику Оператора в отношении обработки персональных данных, а также издание локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства и устранение последствий таких нарушений;
4. применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
5. осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
6. оценка вреда, который может быть причинен субъектам персональных данных, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей по защите персональных данных;
7. ознакомление и/или обучение лиц, непосредственно осуществляющих обработку персональных данных.
8. Обеспечение безопасности персональных данных достигается, в частности:
9. определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
10. применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных.
11. оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных.
12. обнаружением фактов несанкционированного доступа к персональным данным и принятием мер.
13. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
14. установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета действий, совершаемых с персональными данными в информационной системе персональных данных.
15. контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
16. Оператор обеспечивает неограниченный доступ к документам, определяющим его политику в отношении обработки персональных данных, а также к сведениям о реализуемых требованиях к защите персональных данных путем размещения таких документов на Сайте, в месте своего нахождения и/или иным образом.

1. Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
2. Мероприятия по защите персональных данных осуществляются на регулярной и систематической основе. Регулярность и систематичность подразумевает осуществление мероприятий по мере необходимости, но не реже одного раза в каждом календарном году.
3. Для защиты персональных данных и предотвращения несанкционированного доступа к персональным данным применяются следующие организационные меры защиты:
4. Доступ к носителям ИСПДн допускается только для лиц, в обязанности которых входит обработка персональных данных, с обеспечением регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн.
5. Персональные данные, обрабатываемые при помощи материальных носителей, хранятся в запирающихся ящиках, шкафах и/или сейфах, в помещениях, доступ к которым может быть ограничен для определенного круга лиц. Обеспечивается контроль доступа к персональным данным.
6. Сохранность персональных данных, обрабатываемые при помощи вычислительной техники, обеспечивается средствами программного обеспечения, в т.ч. путем предоставления доступа к персональным данным только после ввода логина и пароля соответствующего лица, у которого есть доступ к персональным данным или иным способом, обеспечивающим контроль доступа к персональным данным.
7. Оператор ведет учет, хранения и обращения носителей, содержащих информацию с персональными данными.
8. На регулярной основе, но не реже одного раза в год, осуществляется проведение мероприятий по определению угроз безопасности персональных данных при их обработке и формирование моделей угроз.
9. На постоянной основе осуществляется контроль доступа в целях обнаружения фактов несанкционированного доступа к персональным данным.
10. Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится Оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, осуществляющих деятельность по технической защите конфиденциальной информации. Регулярность проведения проверки устанавливается руководителем Оператора по мере необходимости, но в любом случае не реже одного раза в год.
11. Меры по контролю (анализу) защищенности персональных данных проводятся на регулярной основе и обеспечивают контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных.
12. Меры по выявлению инцидентов и реагированию на них включают обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов лицами, ответственными за защиту соответствующих персональных данных.
13. Оператор осуществляет организацию пропускного режима на территорию места хранения персональных данных, а также контроль доступа в помещения с техническими средствами обработки персональных данных.
14. Постоянный доступ в помещения, в которых осуществляется обработка персональных данных, имеют лица, непосредственно осуществляющие обработку персональных данных в соответствующей информационной системе. Лица, не осуществляющие обработку персональных данных, имеют допуск в указанные помещения только в присутствии лица, ответственного за защиту соответствующих ИСПДн.
15. Правовые меры защиты персональных данных включают:
16. Включение в договоры с контрагентами положений, гарантирующих защиту персональных данных контрагентами Оператора, в случае, если в рамках таких договоров осуществляется обработка персональных данных.
17. Оператор разрабатывает и регулярно обновляет необходимые локальные нормативные акты, и издает приказы в области защиты персональных данных.
18. Оператор назначает, а также ведет систематический контроль и учет лиц, ответственных за защиту персональных данных, а также учет лиц, имеющих доступ к ИСПДн.
19. В состав технических мер (базовый набор мер) по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят следующие меры:
20. Оператор регулярно осуществляет проверку готовности и эффективности использования средств защиты информации, разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации, а также регистрацию и учет действий пользователей информационных систем персональных данных.
21. Оператором осуществляет использование антивирусных средств и средств восстановления системы защиты персональных данных, применение средств программных защиты информации. Используемое программное обеспечение допускает восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
22. Меры по идентификации и аутентификации субъектов доступа и объектов доступа обеспечивают присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора.
23. Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил.
24. Меры по ограничению программной среды обеспечивают установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения и/или исключают возможность установки и (или) запуска запрещенного программного обеспечения.
25. Меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) исключают возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных.
26. Меры по регистрации событий безопасности обеспечивают сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.
27. Меры по антивирусной защите обеспечивают обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.
28. Меры по обнаружению (предотвращению) вторжений обеспечивают обнаружение действий в информационной системе, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия.
29. Меры по обеспечению целостности ИСПДн обеспечивают обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность восстановления информационной системы и содержащихся в ней персональных данных.
30. Меры по обеспечению доступности персональных данных обеспечивают авторизованный доступ пользователей, имеющих права по доступу, к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования информационной системы.
31. Меры по защите технических средств исключают несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее - средства обеспечения функционирования), и в помещения, в которых они постоянно расположены.
32. Меры по защите информационной системы, ее средств, систем связи и передачи данных обеспечивают защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных.
33. Меры по управлению конфигурацией информационной системы и системы защиты персональных данных обеспечивают управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирование этих изменений.
34. Выбор мер по обеспечению безопасности персональных данных, подлежащих реализации в информационной системе в рамках системы защиты персональных данных, включает:
35. определение базового набора мер по обеспечению безопасности персональных данных для установленного уровня защищенности персональных данных;
36. адаптацию базового набора мер по обеспечению безопасности персональных данных с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы (в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе);
37. уточнение адаптированного базового набора мер по обеспечению безопасности персональных данных, в результате чего определяются меры по обеспечению безопасности персональных данных, направленные на нейтрализацию всех актуальных угроз безопасности персональных данных для конкретной информационной системы;
38. дополнение уточненного адаптированного базового набора мер по обеспечению безопасности персональных данных мерами, обеспечивающими выполнение требований к защите персональных данных, установленными иными нормативными правовыми актами в области обеспечения безопасности персональных данных и защиты информации.
39. При невозможности реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных.

1. Настоящий раздел устанавливает порядок осуществления внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.
2. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям Оператор организует проведение регулярных проверок условий обработки персональных данных (не реже одного раза в год).
3. Проверки осуществляются лицом, ответственным за организацию обработки персональных данных, либо, если такое лицо посчитает необходимым, комиссией, образуемой руководителем Оператора. Состав комиссии определяется лицом, ответственным за организацию обработки персональных данных Оператора.
4. Срок осуществления внутреннего контроля не должен превышать 5 рабочих дней с даты начала проверки, если иной срок не потребуется для проведения надлежащего контроля.
5. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, составляется Акт проверки, который в течение направляется руководителю Оператора.

1. Настоящий раздел устанавливает порядок проведения оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона, а также оценки соотношения указанного вреда и принимаемых оператором мер, направленных на защиту персональных данных.
2. Вред субъекту персональных данных возникает в результате неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
3. Перечисленные неправомерные действия определяются как следующие нарушения безопасности информации:
4. Неправомерное предоставление, распространение и копирование персональных данных являются нарушением конфиденциальности персональных данных;
5. Неправомерное уничтожение и блокирование персональных данных является нарушением доступности персональных данных;
6. Неправомерное изменение персональных данных является нарушением целостности персональных данных;
7. Нарушение права субъекта требовать от оператора уточнения его персональных данных, их блокирования или уничтожение является нарушением целостности информации;
8. Нарушение права субъекта на получение информации, касающейся обработки его персональных данных, является нарушением доступности персональных данных;
9. Обработка персональных данных, выходящая за рамки установленных и законных целей обработки, в объеме больше необходимого для достижения установленных и законных целей и дольше установленных сроков является нарушением конфиденциальности персональных данных;
10. Неправомерное получение персональных данных от лица, не являющегося субъектом персональных данных, является нарушением конфиденциальности персональных данных;
11. Принятие решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных без согласия на то в письменной форме субъекта персональных данных или непредусмотренное федеральными законами, является нарушением конфиденциальности персональных данных.
12. Субъекту персональных данных может быть причинен вред в форме:
13. Убытков - расходов, которые лицо, чье право нарушено, понесло или должно будет понести для восстановления нарушенного права, утраты или повреждения его имущества (реальный ущерб), а также неполученных доходов, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено;
14. Морального вреда - физических или нравственных страданий, причиняемых действиями, нарушающими личные неимущественные права гражданина либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом.
15. В оценке возможного вреда Оператор руководствуется Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27 октября 2022 г. № 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных".
16. Порядок проведения оценки возможного вреда, а также соотнесения возможного вреда:
17. Оценка возможного вреда субъектам персональных данных осуществляется лицом, ответственным за организацию обработки персональных данных.
18. Состав и перечень инструментов оценки потенциального вреда определяется лицом, ответственным за организацию обработки персональных данных на основании доступной практики и доступных статистических данных.

1. Настоящий раздел политики устанавливает порядок ознакомления работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
2. Ознакомление работников с действующими локальными нормативными актами в области защиты персональных данных осуществляется в общем порядке ознакомления работников Оператора с локальными нормативными актами, действующими в организации.
3. Обучение и/или инструктаж работников осуществляется по мере необходимости актуализации знаний и навыков в области защиты персональных данных. Решение о необходимости проведения обучения принимается лицом, ответственным за организацию обработки персональных данных.
4. Оператор разрабатывает типовые положения и обязанности о защите персональных данных и включает такие положения в должностные инструкции работников, осуществляющих обработку персональных данных и/или в трудовые договоры с работниками.
5. Оператор разрабатывает проект типового обязательства работника (в виде отдельного документа или в виде типового положения должностной инструкции/ трудового договора), непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей.
6. Оператор вправе издавать и утверждать иные инструкции по проведению контроля и инструктажу работников в области защиты персональных данных.

1. Работники Оператора, ответственные за обработку и защиту персональных данных, а также иные лица, получившие доступ к персональным данным, обязаны предпринимать все возможные меры по сохранению конфиденциальности персональных данных и предотвращению их разглашения.
2. В случае утраты лицом права доступа к соответствующей ИСПДн по любой причине (прекращение договора, распорядительный акт оператора, требование субъекта персональных данных и т.д.), такое лицо обязано незамедлительно прекратить обработку персональных данных, а также возвратить непосредственному руководителю все ИСПДн и средства доступа к ИСПДн, находящиеся в распоряжении такого лица.
3. Лица, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.
4. За нарушение порядка обращения с персональными данными ответственное лицо несет ответственность, предусмотренную законом, а также возмещает ущерб, причиненный неправомерным использованием информации, содержащей персональные данные.

1. Субъект персональных данных вправе направлять Оператору свои запросы и требования (далее – Обращение), в том числе относительно использования его персональных данных.
2. Обращение может быть направлено в письменной форме или в форме электронного документа. Электронный документ должен быть направлен с адреса электронной почты, указанного субъектом при регистрации на Сайте или в договоре. В иных случаях оператор вправе провести предварительную идентификацию Субъекта перед рассмотрением обращения.
3. Субъект персональных данных вправе в любое время отозвать согласие на обработку его персональных данных.
4. Письменное обращение должно содержать сведения, позволяющие идентифицировать субъекта персональных данных или его представителя; сведения о договорных или иных законных отношениях с Оператором (в частности, логин и пароль на Сайте); Суть обращения; Подпись субъекта персональных данных или его законного представителя.
5. Лицо, ответственное за обработку обращений Субъектов регистрирует поступление обращения и проверяет наличие всех обязательных реквизитов Обращения. При отсутствии в Обращении обязательных реквизитов Оператор вправе запросить дополнительные сведения, необходимые для идентификации субъекта персональных данных.
6. Незамедлительно после получения обращения представитель Оператора регистрирует обращение в соответствующем журнале обращений и информирует ответственных лиц о поступлении обращения.
7. Лица, ответственные за обработку персональных данных Субъекта в соответствующих ИСПДн, обязаны в кратчайшие возможные сроки обеспечить подготовка ответа на обращение, а также удаление (уничтожение) персональных данных Субъекта в соответствии с запросом (при необходимости).
8. По результатам исполнения требований Субъекта о прекращении обработки персональных данных, лица ответственные за обработку ИСПДн, уведомляют лицо, ответственное за обработку обращений Субъектов об исполнении требований и для подготовки ответа Субъекту (при необходимости).
9. По результатам рассмотрения надлежащего обращения, Оператор вправе направить Субъекту ответ в форме, аналогичной поступившему обращению. Срок ответа на обращение не должен превышать 10 (десяти) рабочих дней с момента обращения, если иной срок прямо не предусмотрен действующим законодательством для отдельных видов обращений. Указанный срок может быть продлен, но не более чем на пять рабочих дней в соответствии с требованиями Законодательства РФ.
10. Уточнение персональных данных может осуществляться Субъектом самостоятельно, при наличии соответствующей технической возможности на Сайте.

1. В случае когда обработка персональных данных осуществляется оператором без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных.
2. В случае когда обработка персональных данных осуществляется оператором с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных (далее - выгрузка из журнала).
3. Акт об уничтожении персональных данных должен содержать:
4. наименование и адрес оператора, а также лица осуществляющего (осуществляющих) обработку персональных данных субъекта (субъектов) персональных данных по поручению оператора (если обработка была поручена такому (таким) лицу (лицам);
5. фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
6. фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;
7. перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
8. наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные субъекта (субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);
9. наименование информационной (информационных) системы (систем) персональных данных, из которой (которых) были уничтожены персональные данные субъекта (субъектов) персональных данных (в случае обработки персональных данных с использованием средств автоматизации);
10. способ уничтожения персональных данных;
11. причину уничтожения персональных данных;
12. дату уничтожения персональных данных субъекта (субъектов) персональных данных.
13. Выгрузка из журнала должна содержать:
14. фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
15. перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
16. наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;
17. причину уничтожения персональных данных;
18. дату уничтожения персональных данных субъекта (субъектов) персональных данных.
19. В случае если выгрузка из журнала не позволяет указать отдельные сведения, предусмотренные выше, недостающие сведения вносятся в акт об уничтожении персональных данных.
20. Акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных.

1. Настоящий локальный нормативный акт утверждается руководителем Оператора и вступает в силу с момента его утверждения.
2. Ознакомление работников с настоящим документом осуществляется в общем порядке, предусмотренном для ознакомления работников Оператора с локальными нормативными актами, действующими в организации, а для остальных Субъектов обработки персональных данных ознакомление осуществляется путем опубликования настоящего документа в открытом доступе для неограниченного круга лиц.
3. Правила рассмотрения запросов субъектов персональных данных или их представителей могут быть установлены в соответствующих положениях об ИСПДн.
4. Оператор оставляет за собой право вносить изменения в Политику по своему усмотрению, в том числе в случаях, когда это вызвано изменениями законодательства или Условий использования сервисов Сайта.
5. Субъекты обязаны самостоятельно отслеживать изменение положений Политики, если иное не будет прямо предусмотрено законом.
6. Новая редакция Политики вступает в силу с момента ее размещения в соответствующем разделе сайта Оператора. Продолжение пользования Сайтом после публикации новой редакции Политики означает принятие Политики и ее условий Субъектами. В случае несогласия с условиями Политики Пользователь должен незамедлительно прекратить использование Сайта и его сервис.