1. Терміни та визначення
Сайт – сукупність програмних та апаратних засобів для ЕОМ, що забезпечують публікацію інформації та даних, об'єднаних загальним цільовим призначенням, за допомогою технічних засобів, що застосовуються для зв'язку між ЕОМ у мережі Інтернет. Під Сайтом у Положенні розуміється Сайт, розташований у мережі Інтернет за адресою: www.soltukraine.com.ua
Користувач – користувач мережі Інтернет і, зокрема, Сайту, який має свою особисту сторінку (профіль/акаунт).
Федеральний закон (ФЗ) - Федеральний закон від 27 липня 2006 р. № 152 ФЗ «Про персональні дані».
Персональні дані - будь-яка інформація, що відноситься прямо або опосередковано до певної або фізичній особі (суб'єкту персональних даних).
Оператор – організація, самостійно чи з іншими особами організує обробку персональних даних, і навіть визначальна мети обробки персональних даних, підлягають обробці, дії (операції), скоєні з персональними даними. Оператором є ТОВ «МедіКо», розташоване за адресою: 199178, м. Санкт-Петербург, 5 лінія В.О., буд. 70 літер А, прим. 29/21Н
Обробка персональних даних – будь-яка дія (операція) або сукупність дій (операцій), що здійснюються з використанням засобів автоматизації або без використання таких засобів з персональними даними, включаючи збирання, запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміну), вилучення, використання, передачу (поширення, надання, доступ), знеособлення, блокування, видалення, знищення персональних даних.
Автоматизована обробка персональних даних – обробка персональних даних за допомогою обчислювальної техніки.
Поширення персональних даних - дія, спрямована на розкриття персональних даних певному колу осіб за попередньою згодою у випадках, передбачених законом.
Надання персональних даних – дії, створені задля розкриття персональних даних певному особі чи певному колу осіб.
Блокування персональних даних – тимчасове припинення обробки персональних даних (крім випадків, якщо обробка необхідна уточнення персональних даних).
Знищення персональних даних – дії, внаслідок яких стає неможливим відновити зміст персональних даних в інформаційній системі персональних даних та/або внаслідок яких знищуються матеріальні носії персональних даних.
Знеособлення персональних даних – дії, у яких стає неможливим без використання додаткової інформації визначити належність персональних даних до конкретного суб'єкта персональних даних.
Інформаційна система персональних даних (ІСПДн) – сукупність персональних даних, що містяться в базах даних, і забезпечують їх обробку інформаційних технологій та технічних засобів.
Дане Положення є невід'ємною частиною Оферти, розміщеної за адресою: http://soltrussia.ru/oferta, що не обмежує його використання як самостійний юридичний документ. Транскордонна передача персональних даних, зазначених у цій Угоді, здійснюється відповідно до п. 5 ч. 4 ст. 12 Федерального Закону РФ №152 – ФЗ «Про персональні дані» від 27.07.2006 р.
2. Загальні положення
2.1. Положення про порядок зберігання та захисту персональних даних Користувачів Сайту (далі - Положення) розроблено з метою дотримання вимог законодавства РФ, що містять персональні дані та ідентифікації Користувачів, що знаходяться на Сайті.
2.2. Положення розроблено відповідно до Конституції РФ, Цивільного кодексу РФ, чинного законодавства РФ у сфері захисту персональних даних.
2.3. Положення встановлює порядок обробки персональних даних Користувачів Сайту: дії зі збирання, систематизації, накопичення, зберігання, уточнення (оновлення, зміни), знищення персональних даних.
2.4. Положення встановлює обов'язкові для співробітників Оператора, задіяних в обслуговуванні Сайту, загальні вимоги та правила роботи з усіма видами носіїв інформації, що містять персональні дані Користувачів Сайту.
2.5. У Положенні не розглядаються питання забезпечення безпеки персональних даних, що віднесені в установленому порядку до відомостей, що становлять державну таємницю Російської Федерації.
2.6. Цілями Положення є:
- Забезпечення вимог захисту прав і свобод людини і громадянина при обробці персональних даних, у тому числі захисту прав на недоторканність приватного життя, особисту та сімейну таємницю;
- виключення несанкціонованих дій співробітників Оператора та будь-яких третіх осіб щодо збору, систематизації, накопичення, зберігання, уточнення (оновлення, зміни) персональних даних, інших форм незаконного втручання в інформаційні ресурси та локальну обчислювальну мережу Оператора, забезпечення правового та нормативного режиму конфіденційності. Сайту; захист конституційних прав громадян на особисту таємницю, конфіденційність відомостей, що становлять персональні дані, та запобігання виникненню можливої загрози безпеці Користувачів Сайту.
2.7. Принципи обробки персональних даних:
– обробка персональних даних має здійснюватися на законній та справедливій основі;
- Обробка персональних даних повинна обмежуватися досягненням конкретних, заздалегідь визначених і законних цілей. Не допускається обробка персональних даних, несумісна з метою збору персональних даних;
– не допускається об'єднання баз даних, що містять персональні дані, обробка яких здійснюється з метою, несумісною між собою;
– обробці підлягають лише персональні дані, що відповідають цілям їхньої обробки;
– зміст та обсяг оброблюваних персональних даних повинні відповідати заявленим цілям обробки. Оброблювані персональні дані повинні бути надлишковими стосовно заявленим цілям їх обробки;
– при обробці персональних даних мають бути забезпечені точність персональних даних, їх достатність, а в необхідних випадках та актуальність стосовно цілей обробки персональних даних;
- Зберігання персональних даних має здійснюватися не довше, ніж цього вимагають мети обробки персональних даних, якщо термін зберігання персональних даних не встановлений Федеральним законом, договором, стороною якого є Користувач;
- Оброблювані персональні дані підлягають знищенню або знеособленню по досягненню цілей обробки або у разі втрати необхідності в досягненні цих цілей, якщо інше не передбачено Федеральним законом.
2.8. Умови опрацювання персональних даних.
2.8.1. Обробка персональних даних Користувачів Сайту складає підставі Цивільного кодексу РФ, Конституції РФ, чинного законодавства РФ у сфері захисту персональних даних.
2.8.2. Обробка персональних даних на Сайті здійснюється з дотриманням принципів та правил, передбачених Положенням та законодавством РФ.
Обробка персональних даних допускається у таких випадках:
– обробка персональних даних необхідна для використання Сайту, стороною якого є Користувач;
– обробка персональних даних необхідна для захисту життя, здоров'я або інших життєво важливих інтересів Користувача Сайту, якщо згоди неможливе;
– обробка персональних даних необхідна для здійснення прав та законних інтересів Оператора або третіх осіб або для досягнення суспільно значущих цілей за умови, що при цьому не порушуються права та свободи Користувачів Сайту;
– обробка персональних даних здійснюється у статистичних чи інших дослідницьких цілях, за винятком обробки персональних даних з метою просування товарів, робіт, послуг на ринку шляхом здійснення прямих контактів з потенційними споживачами за допомогою засобів зв'язку, а також з метою політичної агітації за умови обов'язкового знеособлення персональних даних
2.9. Цілі обробки персональних даних.
2.9.1. Обробка персональних даних Користувачів Сайту здійснюється виключно з метою надання Користувачеві можливості взаємодіяти з Сайтом.
2.9.2. Відомості, що становлять персональні дані на Сайті, є будь-яка інформація, що відноситься до певної або визначеної на підставі такої інформації фізичної особи (суб'єкта персональних даних).
2.10. Джерела одержання персональних даних Користувачів.
2.10.1. Джерелом інформації про всі персональні дані Користувача є безпосередньо сам Користувач.
2.10.2. Джерелом інформації про персональні дані Користувача є відомості, отримані внаслідок надання Оператором Користувачеві прав користування Сайтом.
2.10.3. Персональні дані Користувачів належать до конфіденційної інформації обмеженого доступу.
2.10.4. Забезпечення конфіденційності персональних даних не потрібне у разі їх знеособлення, а також щодо загальнодоступних персональних даних.
2.10.5. Оператор не має права збирати та обробляти персональні дані Користувача про його расову, національну приналежність, політичні погляди, релігійні або філософські переконання, приватне життя, за винятком випадків, передбачених чинним законодавством.
2.10.6. Оператор не має права отримувати та обробляти персональні дані Користувача про його членство в громадських об'єднаннях або його профспілкову діяльність, за винятком випадків, передбачених Федеральним законом.
2.11. Методи обробки персональних даних.
2.11.1. Персональні дані Користувачів Сайту обробляються виключно за допомогою засобів автоматизації.
2.12. Права суб'єктів (користувачів) персональних даних.
2.12.1. Користувач має право на отримання відомостей про Оператора, місце його знаходження, про наявність у Оператора персональних даних, що належать до конкретного суб'єкта персональних даних (Користувача), а також на ознайомлення з такими персональними даними, за винятком випадків, передбачених частиною 8 статті 14 Федерального закону "Про персональні дані".
2.12.2. Користувач має право на отримання від Оператора при особистому зверненні до нього або при отриманні Оператором письмового запиту від Користувача наступної інформації щодо обробки його персональних даних, у тому числі:
- підтвердження факту обробки персональних даних Оператором, а також ціль такої обробки;
- Правові підстави та цілі обробки персональних даних;
- Цілі та застосовувані Оператором способи обробки персональних даних;
- найменування та місце знаходження Оператора, відомості про осіб (за винятком працівників оператора), які мають доступ до персональних даних або яким можуть бути розкриті персональні дані на підставі договору з Оператором або на підставі Федерального закону;
- Оброблювані персональні дані, що належать до відповідного суб'єкта персональних даних, джерело їх отримання, якщо інший порядок надання таких даних не передбачений Федеральним законом;
– терміни обробки персональних даних, зокрема терміни їх зберігання;
- Порядок здійснення суб'єктом персональних даних прав, передбачених Федеральним законом;
– інформацію про здійснену або про передбачувану транскордонну передачу даних;
- найменування або прізвище, ім'я, по батькові та адресу особи, яка здійснює обробку персональних даних за дорученням Оператора, якщо обробку доручено або буде доручено такій особі;
- Інші відомості, передбачені Федеральним законом або іншими федеральними законами;
– вимагати зміни, уточнення, знищення інформації про себе;
– оскаржити неправомірні дії чи бездіяльність щодо обробки персональних даних та вимагати відповідної компенсації в суді;
– на доповнення персональних даних оцінного характеру заявою, яка виражає його власну точку зору;
- Визначати представників для захисту своїх персональних даних;
- вимагати від Оператора повідомлення про всі зроблені в них зміни або винятки з них.
2.12.3. Користувач має право оскаржити в уповноваженому органі захисту прав суб'єктів персональних даних або в судовому порядку дії або бездіяльність Оператора, якщо вважає, що останній здійснює обробку його персональних даних з порушенням вимог Федерального закону «Про персональні дані» або іншим чином порушує його права та свободи .
2.12.4. Користувач персональних даних має право на захист своїх прав та законних інтересів, у тому числі на відшкодування збитків та (або) компенсацію моральної шкоди у судовому порядку.
2.13. Обов'язки Оператора.
2.13.1. За фактом особистого звернення або при отриманні письмового запиту суб'єкта персональних даних або його представника Оператор за наявності підстав зобов'язаний протягом 30 днів з дати звернення або отримання запиту суб'єкта персональних даних або його представника надати відомості в обсязі, встановленому Федеральним законом. Такі відомості мають бути надані суб'єкту персональних даних у доступній формі, і в них не повинні міститися персональні дані, що стосуються інших суб'єктів персональних даних, за винятком випадків, коли є законні підстави для розкриття таких персональних даних.
2.13.2. У разі відмови у наданні суб'єкту персональних даних або його представнику при зверненні або при отриманні запиту суб'єкта персональних даних або його представника інформації про наявність персональних даних про відповідного суб'єкта персональних даних Оператор зобов'язаний дати у письмовій формі мотивовану відповідь, яка містить посилання на положення частини 8 статті 14 Федерального закону «Про персональні дані» або іншого федерального закону, що є підставою для такої відмови, у строк, що не перевищує 30 днів з дня звернення суб'єкта персональних даних або його представника, або з дати отримання запиту суб'єкта персональних даних або його представника.
2.13.3. У разі отримання запиту від уповноваженого органу захисту прав суб'єктів персональних даних про надання інформації, необхідної для здійснення діяльності зазначеного органу, Оператор зобов'язаний повідомити таку інформацію у уповноважений орган протягом 30 днів з дати отримання такого запиту.
2.13.4. У разі виявлення неправомірної обробки персональних даних при зверненні або на запит суб'єкта персональних даних або його представника або уповноваженого органу захисту прав суб'єктів персональних даних Оператор зобов'язаний здійснити блокування неправомірно оброблюваних персональних даних, що належать до цього суб'єкта персональних даних, з моменту такого звернення або отримання зазначеного запит на період перевірки.
2.13.5. У разі виявлення неправомірної обробки персональних даних, що здійснюється Оператором, останній у строк, що не перевищує трьох робочих днів з дати цього виявлення, зобов'язаний припинити неправомірну обробку персональних даних. Про усунення допущених порушень Оператор зобов'язаний повідомити суб'єкта персональних даних або його представника, а якщо звернення суб'єкта персональних даних або його представника або запит уповноваженого органу щодо захисту прав суб'єктів персональних даних були направлені уповноваженим органом захисту прав суб'єктів персональних даних, також зазначений орган.
2.13.6. У разі досягнення мети обробки персональних даних Оператор зобов'язаний припинити обробку персональних даних та знищити персональні дані у строк, що не перевищує 30 робочих днів з дати досягнення мети обробки персональних даних, якщо інше не передбачено договором, стороною якого є суб'єкт персональних даних.
2.13.7. Забороняється прийняття на підставі виключно автоматизованої обробки персональних даних рішень, що породжують юридичні наслідки щодо суб'єкта персональних даних або іншим чином зачіпають його права та законні інтереси.
2.14. Режим конфіденційності персональних даних.
2.14.1. Оператор забезпечує конфіденційність та безпеку персональних даних при їх обробці відповідно до вимог законодавства РФ.
2.14.2. Оператор не розкриває третім особам і не поширює персональні дані без згоди суб'єкта персональних даних, якщо інше не передбачено Федеральним законом.
2.14.3. Відповідно до переліку персональних даних, що обробляються на сайті, персональні дані Користувачів Сайту є конфіденційною інформацією.
2.14.4. Особи, які здійснюють обробку персональних даних, зобов'язані дотримуватись вимог регламентуючих документів Оператора щодо забезпечення конфіденційності та безпеки персональних даних.
3. Обробка персональних даних
3.1. Перелік оброблюваних персональних даних Користувачів:
3.2. Особи, які мають право доступу до персональних даних.
3.2.1. Право доступу до персональних даних суб'єктів мають особи, наділені відповідними повноваженнями відповідно до своїх службових обов'язків.
3.3. Порядок та термін зберігання персональних даних на Сайті.
3.3.1. Оператор здійснює лише зберігання персональних даних Користувачів на Сайті.
3.3.2. Терміни зберігання персональних даних Користувачів на Сайті визначені умовами Угоди Користувача, вводяться в дію з моменту прийняття (акцепту) Користувачем даної угоди на Сайті та діють доти, доки Користувач не виявить бажання видалити свої персональні дані з Сайту.
3.3.3. У разі видалення даних із Сайту з ініціативи однієї зі сторін, а саме припинення використання Сайту, персональні дані Користувача зберігаються у базах даних Оператора п'ять років відповідно до законодавства РФ.
3.3.4. Після закінчення зазначеного терміну зберігання персональних даних Користувача персональні дані Користувача видаляються автоматично заданим алгоритмом, який задає Оператор.
3.4. Блокування персональних даних.
3.4.1. Під блокуванням персональних даних розуміється тимчасове припинення Оператором операцій з їх обробки на вимогу Користувача при виявленні ним недостовірності оброблюваних відомостей або неправомірних, на думку суб'єкта персональних даних, дій щодо його даних.
3.4.2. Оператор не передає персональні дані третім особам та не доручає обробку персональних даних стороннім особам та організаціям. Персональні дані Користувачів Сайту обробляють лише співробітники Оператора (адміністратори баз даних тощо), допущені встановленим порядком до обробки персональних даних Користувачів.
3.4.3. Блокування персональних даних на Сайті здійснюється на підставі письмової заяви від суб'єкта персональних даних.
3.5. Знищення персональних даних.
3.5.1. Під знищенням персональних даних розуміються дії, внаслідок яких стає неможливим відновити зміст персональних даних на Сайті та/або внаслідок яких знищуються матеріальні носії персональних даних.
3.5.2. Суб'єкт персональних даних має право письмово вимагати знищення своїх персональних даних у разі, якщо персональні дані є неповними, застарілими, недостовірними, незаконно отриманими або не є необхідними для заявленої мети обробки.
3.5.3. У разі відсутності можливості знищення персональних даних, Оператор здійснює блокування таких персональних даних.
3.5.4. Знищення персональних даних здійснюється шляхом стирання інформації з використанням сертифікованого програмного забезпечення з гарантованим знищенням (відповідно до заданих характеристик для встановленого програмного забезпечення з гарантованим знищенням).
4. Система захисту персональних даних
4.1. Заходи щодо забезпечення безпеки персональних даних під час їх обробки.
4.1.1. Оператор при обробці персональних даних зобов'язаний вживати необхідних правових, організаційних та технічних заходів або забезпечувати їх прийняття для захисту персональних даних від неправомірного або випадкового доступу до них, знищення, зміни, блокування, копіювання, надання, розповсюдження персональних даних, а також від інших неправомірних дій щодо персональних даних.
4.1.2. Забезпечення безпеки персональних даних досягається, зокрема:
- Визначенням загроз безпеки персональних даних при їх обробці в інформаційних системах персональних даних;
– застосуванням організаційних та технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних, необхідних для виконання вимог щодо захисту персональних даних;
– застосуванням процедури оцінки відповідності засобів захисту інформації, що пройшли в установленому порядку;
– оцінкою ефективності заходів, що вживаються щодо забезпечення безпеки персональних даних до введення в експлуатацію інформаційної системи персональних даних;
- Обліком машинних носіїв персональних даних;
– виявленням фактів несанкціонованого доступу до персональних даних та вжиття заходів;
- Відновлення персональних даних, модифікованих або знищених внаслідок несанкціонованого доступу до них;
– встановлення правил доступу до персональних даних, що обробляються в інформаційній системі персональних даних, а також забезпечення реєстрації та обліку всіх дій, що здійснюються з персональними даними в інформаційній системі персональних даних;
– контролем за заходами щодо забезпечення безпеки персональних даних та рівня захищеності інформаційних систем персональних даних.
4.1.3. Для цілей Положення під загрозами безпеки персональних даних розуміється сукупність умов та факторів, що створюють небезпеку несанкціонованого, у тому числі випадкового, доступу до персональних даних, результатом якого можуть стати знищення, зміна, блокування, копіювання, надання, розповсюдження персональних даних, а також інші неправомірні дії під час їхньої обробки в інформаційній системі персональних даних. Під рівнем захищеності персональних даних розуміється комплексний показник, що характеризує вимоги, виконання яких забезпечує нейтралізацію певних загроз безпеці персональних даних під час їхньої обробки в інформаційній системі персональних даних.
4.2. Захищаються відомості про суб'єкт персональних даних.
До відомостей про суб'єкт персональних даних на Сайті, що захищаються, належать дані, що дозволяють ідентифікувати суб'єкт персональних даних та/або отримати про нього додаткові відомості, передбачені законодавством та Положенням.
4.3. Об'єкти персональних даних, що захищаються.
4.3.1. До об'єктів персональних даних, що захищаються на Сайті, відносяться:
- Об'єкти інформатизації та технічні засоби автоматизованої обробки інформації, що містить персональні дані;
– інформаційні ресурси (бази даних, файли та ін.), що містять інформацію про інформаційно-телекомунікаційні системи, в яких циркулюють персональні дані, про події, що відбулися з керованими об'єктами, про плани забезпечення безперебійної роботи та процедури переходу до управління в аварійних режимах;
- канали зв'язку, що використовуються для передачі персональних даних у вигляді інформативних електричних сигналів та фізичних полів;
– носії інформації, що відчужуються, на магнітній, магнітно-оптичній та іншій основі, що застосовуються для обробки персональних даних.
4.3.2. Технологічна інформація про інформаційні системи та елементи системи захисту персональних даних, що підлягає захисту, включає:
- Відомості про систему управління доступом на об'єкти інформатизації, на яких здійснюється обробка персональних даних;
- Керівна інформація (конфігураційні файли, таблиці маршрутизації, налаштування системи захисту та ін.);
– технологічна інформація засобів доступу до систем управління (автентифікаційна інформація, ключі та атрибути доступу та ін.);
– характеристики каналів зв'язку, що використовуються передачі персональних даних як інформативних електричних сигналів і фізичних полів;
– інформація про засоби захисту персональних даних, їх склад і структуру, принципи та технічні рішення захисту;
– службові дані (метадані), що з'являються під час роботи програмного забезпечення, повідомлень та протоколів міжмережевої взаємодії, внаслідок обробки персональних даних.
4.4. Вимоги до системи захисту даних.
Система захисту персональних даних має відповідати вимогам постанови Уряду РФ від 1 листопада 2012 р. № 1119 "Про затвердження вимог до захисту персональних даних при їх обробці в інформаційних системах персональних даних".
4.4.1. Система захисту персональних даних має забезпечувати:
– своєчасне виявлення та запобігання несанкціонованому доступу до персональних даних та (або) передачі їх особам, які не мають права доступу до такої інформації;
- недопущення впливу на технічні засоби автоматизованої обробки персональних даних, внаслідок якого може бути порушено їхнє функціонування;
– можливість негайного відновлення персональних даних, модифікованих чи знищених внаслідок несанкціонованого доступу до них;
- Постійний контроль за забезпеченням рівня захищеності персональних даних.
4.4.2. Засоби захисту інформації, що застосовуються в інформаційних системах, повинні у порядку проходити процедуру оцінки відповідності.
4.5. Методи та засоби захисту інформації в інформаційних системах персональних даних.
4.5.1. Методи та засоби захисту інформації в інформаційних системах персональних даних Оператора повинні відповідати вимогам:
