Политика обработки персональных данных
Индивидуального предпринимателя
 Ястребовой Адель Антоновны

1. Общие положения

1.1. Настоящая Политика обработки персональных данных индивидуального предпринимателя Ястребовой Адель Антоновны (далее – Политика) устанавливает порядок обработки и обеспечения безопасности персональных данных субъектов персональных данных при их обработке индивидуальным предпринимателем Ястребовой Адель Антоновной.
1.2. Оператором является индивидуальный предприниматель Ястребова Адель Антоновна (далее – Оператор).
Сайт Оператора: https://obuchar.ru/.
1.3. Политика действует в отношении всех персональных данных, которые обрабатывает в рамках оказания услуг Оператором.
1.4. Политика распространяется на отношения в области персональных данных, возникшие у Оператора после утверждения настоящей Политики.
1.5. Политика публикуется в свободном доступе информационно-телекоммуникационной сети «Интернет» на сайте Оператора.
1.6. Целью Политики является закрепление принимаемых Оператором мер, направленных на обеспечение выполнения им обязанностей, предусмотренных действующим законодательством Российской Федерации в сфере персональных данных, в целях соблюдения защиты прав и свобод физических лиц при обработке Оператором их персональных данных.
1.7. Основные понятия, указанные в Политике, применяются и трактуются в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
1.8. Политика подлежит актуализации в случае изменений в действующем законодательстве Российской Федерации в сфере персональных данных.
1.9. Все персональные данные, обрабатываемые Оператором, признаются информацией ограниченного доступа, распространение и иное использование которой допускается в порядке, предусмотренном для такой информации законодательством Российской Федерации.



2. Правовые основания обработки персональных данных

2.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ);
- Федеральный законом от 27 июля 2006 г. №. 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Закон Российской Федерации от 07 февраля 1992 г. № 2300–1 «О защите прав потребителей»;
- и иные нормативные акты.
2.2. Правовым основанием обработки персональных данных также являются:
- положения применимого к деятельности Оператора действующего законодательства Российской Федерации;
- согласия субъектов персональных данных на обработку их персональных данных;
- договоры, заключаемые между Оператором и субъектами персональных данных.
3. Цели сбора персональных данных

3.1. Обработка персональных данных осуществляется в соответствии с целями, указанными в пункте 3.4 настоящего Положения на основе принципов обработки персональных данных, соответствующих разделу 5 Положения, и ограничивается достижением таких конкретных, заранее определенных и законных целей. 
3.2. Обработка Оператором персональных данных в целях, несовместимых с целями сбора таких персональных данных не допускается. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.
3.3. Оператор осуществляет обработку персональных данных субъектов, указанных в разделе 4 настоящей Политики, в соответствии с действующим законодательством Российской Федерации в сфере персональных данных руководствуясь правовыми основаниями, указанными в разделе 2 настоящей Политики.
3.4. Обработка Оператором персональных данных осуществляется в следующих целях:
- регистрации Обучающегося на платформе «Обучариум» (при заказе соответствующего обучения);
- обеспечения образовательного процесса и освоения соответствующей образовательной программы Обучающимся на платформе «Обучариум» (при заказе соответствующего обучения);
- регистрации Обучающегося на образовательные и информационные мероприятия Оператора (при необходимости).
3.5. Оператор обрабатывает персональные данные по поручению соответствующих операторов, контрагентов в объеме и на условиях, предусмотренных соответствующим договором, заключенным между оператором и другим оператором, контрагентом, а также в случаях, когда такая обработка необходима в связи с применимым к деятельности Оператора законодательством (в частности (но не ограничиваясь) налоговым законодательством, законодательством о противодействии коррупции, законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма), требованиям бухгалтерского учета. В указанных случаях Оператор не получает отдельных согласий субъектов на обработку персональных данных, руководствуясь договором, заключенным между Оператором и другим оператором, контрагентом, статьей 6 Закона № 152-ФЗ и (или) иными нормативными правовыми актами Российской Федерации.
3.6. Оператор сохраняет конфиденциальность и безопасность персональных данных, а также обеспечивает их обработку в целях, предусмотренных действующим законодательством Российской Федерации в сфере персональных данных и (или) договорами, заключенными между Оператором и соответствующими операторами, контрагентами. В подобные договоры в обязательном порядке должны включаться следующие положения:
- оператором, контрагентом обеспечены достаточные правовые основания для передачи персональных данных Оператору для их дальнейшей обработки в течение всего срока действия договора и в соответствии с условиями, обозначенными таким договором;
- субъекты, чьи персональные данные передаются Оператору, уведомлены об осуществлении Оператором обработки персональных данных в порядке, предусмотренном действующим законодательством Российской Федерации в сфере персональных данных.

4. Обрабатываемые персональные данные. Состав и категории субъектов персональных данных

4.1. Оператор не обрабатывает данные, касающиеся расовой или национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, прямо предусмотренных Законом № 152-ФЗ и иными федеральными законами Российской Федерации.
Оператор не обрабатывает биометрические и иные специальные персональные данные, а также персональные данные, разрешенные субъектом персональных данных для распространения и требующих отдельного согласия субъекта персональных данных, в том числе по причине исключения распространения персональных данных Оператором (включая, но не ограничиваясь) за исключением случаев, прямо предусмотренных Законом
№ 152-ФЗ или иными действующими нормативными актами Российской Федерации.
4.2. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 3 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточным по отношению к заявленным целям их обработки.
4.3. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных:
4.3.1. Оператор осуществляет обработку персональных данных заказчиков:
- фамилия, имя заказчика;
- фамилия, имя Обучающегося;
- возраст Обучающегося;
- номер мобильного телефона заказчика;
- адрес электронной почты заказчика.

5. Принципы обработки персональных данных

5.1. Обработка персональных данных осуществляется на основе следующих принципов:
5.1.1. Обработка персональных данных осуществляется на законной и справедливой основе;
5.1.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
5.1.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
5.1.4. Обработке подлежат только те персональные данные, которые отвечают целям их обработки;
5.1.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;
5.1.6. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;
5.1.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен в соответствии с действующим законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законом № 152-ФЗ.

6. Основные права и обязанности Оператора, субъекта персональных данных

6.1. Основные права и обязанности Оператора.
6.1.1. Оператор имеет право:
6.1.1.1. самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом № 152-ФЗ или другими федеральными законами Российской Федерации;
6.1.1.2. в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе № 152-ФЗ.
6.1.2. Оператор обязан:
6.1.2.1. осуществлять обработку персональных данных в соответствии с требованиями Закона № 152-ФЗ;
6.1.2.2. предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ;
6.1.2.3. по требованию субъекта персональных данных уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
6.1.2.4. вести Журнал учета обращений субъектов персональных данных, в котором должны фиксироваться запросы субъектов персональных данных на получение персональных данных, а также факты предоставления персональных данных по таким запросам;
6.1.2.5. уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных. Исключение составляют следующие случаи:
- субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
- персональные данные получены Оператором на основании Закона № 152-ФЗ или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
- предоставление субъекту персональных данных сведений, содержащихся в Уведомлении об обработке персональных данных, нарушает права и законные интересы третьих лиц.
6.1.2.6. в случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом № 152-ФЗ или иными нормативными актами.
6.1.2.7. в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 (тридцати) дней с даты поступления указанного заявления об отзыве, если иное не предусмотрено соглашением между Оператором и субъектом персональных данных. Об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных.
6.2. Основные права и обязанности субъекта персональных данных.
6.2.1. Субъект персональных данных имеет право:
6.2.1.1. получать доступ к своим персональным данным (и такое право может быть ограничено исключительно в соответствии с действующим законодательством Российской Федерации в сфере персональных данных, если доступ субъекта к его персональным данным нарушает права и законные интересы третьих лиц);
6.2.1.2. требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
6.2.1.3. получать от Оператора следующую информацию:
- подтверждение факта обработки персональных данных Оператором;
- правовые основания обработки персональных данных Оператором;
- цели и применяемые способы обработки персональных данных Оператором;
- наименование и место нахождения Оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на ином основании;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения (если порядок получения данных не предусмотрен действующим законодательством Российской Федерации);
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных своих прав, предусмотренных действующим законодательством Российской Федерации в сфере персональных данных;
- информацию об осуществленной или предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- информацию о способах исполнения Оператором обязанностей, установленных статьей 18.1 Закона № 152-ФЗ;
- иные сведения, предусмотренные Законом № 152-ФЗ или другими федеральными законами.
6.2.1.4. возражать относительно принятия на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъектов персональных данных или иным образом затрагивающих их права и законные интересы;
6.2.1.5. обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке и защите персональных данных.
6.2.1.6. дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг; 
6.2.2. Субъект персональных прав обязан:
6.2.2.1. предоставлять Оператору достоверные, точные и достаточные персональные данные и своевременно информировать об их изменении;
6.3. Контроль за исполнением требований настоящей Политики осуществляется Оператором лично.
6.4. Ответственность за нарушение требований законодательства Российской Федерации в сфере персональных данных определяется в соответствии с действующим законодательством Российской Федерации.



7. Условия обработки персональных данных

7.1. Оператор обрабатывает персональные данные субъектов персональных данных с использованием средств автоматизации и может совершать с персональными данными следующие виды действий: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ), когда такие действия прямо предусмотрены Законом № 152-ФЗ и иными действующими нормативными актами; обезличивание; блокирование; удаление и уничтожение персональных данных.
7.2. Оператор не принимает решений, порождающих юридические последствия в отношении физических лиц – субъектов персональных данных или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
7.3. При сборе персональных данных Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
7.4. Обработка персональных данных для каждой цели обработки, указанной в пункте 3.4 настоящей Политики, осуществляется путем:
- получения персональных данных в письменной форме в электронном виде непосредственно от субъектов персональных данных;
- внесения персональных данных в журналы, реестры и информационные системы Оператора;
- использования иных способов обработки персональных данных.
7.5. Обработка персональных данных допускается в следующих случаях:
7.5.1. обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
7.5.2. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем;
7.5.3. осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с Законом
№ 152-ФЗ.
7.6. К обработке персональных данных допускается лично индивидуальный предприниматель Ястребова Адель Антоновна.
7.7. Запись и систематизация персональных данных при их сборе осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить место хранения и место накопления. Хранение персональных данных осуществляется в соответствии с требованиями действующего законодательства Российской Федерации и в любом случае не дольше, чем этого требуют цели обработки персональных данных, если только иной срок не установлен законодательством Российской Федерации, либо по согласованию с субъектом персональных данных. Действие настоящей Политики не распространяется на процессы архивного хранения документов, содержащих персональные данные.
7.8. Согласие на обработку персональных данных дается субъектом персональных данных в электронной форме путем акцепта оферты и подтверждения согласия с размещенными типовыми условиями согласия субъекта персональных данных на обработку персональных данных, размещенных в разделе https://obuchar.ru/soglasie на сайте Оператора.
7.9. Запросы субъектов персональных данных и иных уполномоченных лиц, в соответствии с действующим законодательством Российской Федерации, фиксируются в журнале учета обращений субъектов персональных данных и иных уполномоченных лиц.
7.10. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в части 7 статьи 14 Закона № 152-ФЗ, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на 5 (пять) рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
Повторный запрос сведений может быть направлен субъектом персональных данных или его уполномоченным представителем, и рассмотрен Оператором в порядке, установленном в частях 4-6 статьи 14 Закона № 152-ФЗ.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Запрос должен соответствовать условиям, установленным частью 3 статьи 14 Закона № 152-ФЗ. 
Оператор предоставляет сведения, указанные в части 7 статьи 14 Закона № 152-ФЗ, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона № 152-ФЗ все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Закона
№ 152-ФЗ, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
7.11. В случае поступления запроса от субъекта персональных данных или иных уполномоченных лиц в соответствии с действующим законодательством Российской Федерации в письменной форме в адрес Оператора о предоставлении сведений, указанных в пункте 6.2.1.3 настоящей Политике, то ответ на такой запрос направляется Оператором в свободной форме. В случае требования предоставления иных, не предусмотренных действующим законодательством Российской Федерации, сведений заявителю направляется Оператором мотивированный ответ в письменной форме, содержащий ссылку на Политику, часть 8 статьи 14 Закона № 152-ФЗ или иной федеральный закон, являющиеся основанием для такого ответа, в срок, не превышающий 30 (тридцати) дней со дня обращения субъекта персональных данных или иного уполномоченного лица либо с даты получения запроса от субъекта персональных данных или иного уполномоченного лица. Документы, содержащие персональные данные субъекта персональных данных, в ответ на запрос могут быть отправлены через учреждение федеральной почтовой связи или курьерской почтой. При этом Оператор принимает разумные меры для обеспечения конфиденциальности персональных данных, содержащихся в таких документах.
7.12. Предоставление персональных данных субъектов персональных данных осуществляется лично субъектам персональных данных в порядке, установленном действующим законодательством Российской Федерации.
7.13. Предоставление персональных данных субъектов персональных данных их представителям производится в порядке, установленном действующим законодательством Российской Федерации, при наличии одного из документов:
- официальных документов, подтверждающих законное представительство (родитель, усыновитель, опекун или попечитель) Обучающегося;
- нотариально удостоверенной доверенности представителя субъекта персональных данных;
- письменного заявления субъекта персональных данных, написанного в присутствии Оператора.
7.14. Персональные данные субъекта персональных данных могут быть предоставлены его близким родственникам только с письменного согласия самого субъекта персональных данных, за исключением случаев, когда передача персональных данных субъекта без его согласия допускается действующим законодательством Российской Федерации.



8. Технические условия получения, обработки, хранения персональных данных и обеспечения безопасности данных
8.15. Получение, обработка, хранение персональных данных осуществляются Оператором с использованием средств автоматизации в электронной форме.
8.16. Технические меры защиты, реализуемые Оператором:
- использование защищенного протокола HTTPS для передачи и получения персональных данных;
- применение сложных паролей (не менее 12 символов с использованием букв, цифр и специальных символов) для доступа в личные кабинеты на платформе «Обучариум» и CRM;
- обеспечение регулярной смены паролей личных кабинетов на платформе «Обучариум» и CRM;
- ведение Оператором журнала учета действий с персональными данными (фиксация входов на платформу «Обучариум»);
- наличие (установлено) лицензионное антивирусное программное обеспечение на автоматизированном рабочем месте Оператора (персональная электронно-вычислительная машина);
- регулярное обновление операционной системы и прикладного программного обеспечения на автоматизированном рабочем месте Оператора (персональная электронно-вычислительная машина).
8.17. Меры криптографической защиты на платформе «Обучариум»:
- используется встроенное шифрование данных при передаче персональных данных;
- применяются современные протоколы шифрования (TLS 1.2 и выше).
8.18. Обеспечение контроля доступа к личным кабинетам на платформе «Обучариум»:
- автоматическая блокировка сессии после окончания периода активности пользователя;
- реализована система уведомлений о подозрительных действиях.
8.19. Управление хранением данных:
- Оператором регулярно осуществляется резервное копирование данных;
- Оператором обеспечивается своевременное уничтожение персональных данных при достижении целей обработки персональных данных.


9. Передача персональных данных третьим лицам

9.1. Согласия субъекта на передачу его персональных данных третьим лицам не требуется:
- в целях предупреждения угрозы жизни и здоровью субъекта персональных данных;
- когда согласие субъекта персональных данных на обработку (в том числе передачу) его персональных данных третьими лицами получено от него в письменном виде (в том числе в электронной форме) при заключении договора с Оператором;
- когда третьи лица оказывают услуги Оператору на основании заключенных договоров, а передача персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем по которому является субъект персональных данных;
- в иных случаях, установленных действующим законодательством Российской Федерации в сфере персональных данных.
9.2. При передаче персональных данных Оператор:
- не раскрывает персональные данные третьим лицам без согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации в сфере персональных данных или договором с субъектом персональных данных;
- предупреждает (в том числе указывает в договорах (иных документах), на основании которых осуществляется передача персональных данных) лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они переданы Оператору, и исключительно при условии соблюдения режима конфиденциальности и безопасности персональных данных.
9.3. Любые третьи лица, получившие от Оператора персональные данные, обязаны обеспечивать их целостность, конфиденциальность и безопасность, а также соблюдать иные требования к их обработке, предусмотренные соответствующим договором с Оператором и действующим законодательством Российской Федерации в сфере персональных данных.
9.4. В случаях, когда оператор поручает обработку персональных данных другому лицу, Оператор заключает с таким лицом договор поручения на обработку персональных данных или включает соответствующие положения в иной заключаемых с ним договор.
При поручении обработки персональных данных третьему лицу Оператор определяет перечень действий (операций) с персональными данными, которые будут совершаться этим лицом, цели обработки, устанавливает обязанность по соблюдению конфиденциальности персональных данных и обеспечению их безопасности при обработке, а также указывает требования к защите обрабатываемых персональных данных в соответствии с требованиями действующего законодательства Российской Федерации в сфере персональных данных. Оператор также уведомляет лицо, получающее персональные данные, об ответственности за незаконное и нецелевое использование переданных персональных данных.

10. Актуализация, исправление, уничтожение и прекращение обработки персональных данных

10.1. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные в течение 7 (семи) рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
10.2. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
10.3. Оператором установлены следующие случаи для прекращения обработки персональных данных и их уничтожения:
- достигнуты цель обработки персональных данных и (или) максимальный срок хранения персональных данных, установленный действующим законодательством Российской Федерации;
- утрачена необходимость в достижении ранее определенных целей обработки;
- выявлены факты неправомерной обработки персональных данных (в том числе при обращении субъекта персональных данных или его законного представителя), когда обеспечить ее правомерность не представляется возможным;
- отозвано согласие субъекта на обработку персональных данных и оснований в соответствии с действующим законодательством Российской Федерации в сфере персональных данных продолжать обработку персональных данных такого субъекта не имеется;
- отсутствуют основания осуществлять архивное хранение материальных носителей, содержащих персональные данные;
- Оператор не может более обеспечивать правомерную обработку персональных данных;
- истек предусмотренный согласием субъекта на обработку персональных данных срок обработки персональных данных либо истек срок исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных.
10.4. Персональные данные подлежат уничтожению в срок, не превышающий 30 (тридцати) дней с наступления какого-либо из обстоятельств, предусмотренных пунктом 9.3 настоящей Политики, если иной срок не предусмотрен в согласии или запросе субъекта персональных данных либо в договоре, стороной которого является субъект персональных данных. При невозможности уничтожения персональных данных в указанный срок Оператор осуществляет блокирование персональных данных и уничтожает их в течение 6 (шести) месяцев.
10.5. Уничтожение персональных данных должно производиться способом, исключающим возможность восстановления этих персональных данных. Если персональные данные невозможно уничтожить без повреждения их материального носителя, что будет препятствовать его дальнейшему использованию по назначению, то уничтожению подлежат и персональные данные, и их материальный носитель.
10.6. Уничтожение персональных данных в соответствующих информационных системах осуществляется с применением специализированных программных или аппаратных средств.
10.7. Уничтожение персональных данных на бумажных носителях информации осуществляется в порядке, предусмотренном Оператором, после передачи в архив или по истечении сроков хранения с помощью средств, гарантирующих невозможность восстановления носителя, или посредством вычеркивания (вымарывания и т.п.) персональных данных.
10.8. Уничтожение персональных данных третьим лицом, обрабатывающим персональные данные по поручению Оператора, осуществляется в порядке, установленном договором между Оператором и таким третьим лицом.

11. Меры по обеспечению безопасности персональных данных при их обработке

11.1. При обработке персональных данных Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
11.2. Обеспечение безопасности персональных данных достигается, в частности:
11.2.1. определением угроз безопасности персональных данных при их обработке на сайте Оператора;
11.2.2. применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, на сайте Оператора, необходимых для выполнения требований к защите персональных данных;
11.2.3. применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
11.2.4. оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
11.2.5. учетом машинных носителей персональных данных;
11.2.6. обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
11.2.7. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
11.2.8. установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
11.2.9. контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности сайта Оператора.
11.2.10. хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним.