Политика конфиденциальности

Обработка и хранение персональных данных Пользователя осуществляется на законных основаниях в течение срока действия Пользовательского соглашения, а также, в течение 3 лет с момента прекращения его действия.

В случае удаления Аккаунта возможно сохранение части информации в той мере, в которой это необходимо для исполнения юридических обязательств, урегулирования споров, предотвращения мошенничества и защиты законных интересов Регистратора.

В случае потери или разглашения персональных данных Пользователя, Регистратор уведомляет Пользователя о факте потери или раскрытия его персональных данных.

6.2. В целях обеспечения адекватной защиты персональных данных Пользователя, Регистратор:

1) Назначает ответственного за организацию обработки персональных данных;

2) Издает документы, определяющие политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;

3) Применяет правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

4) Определяет угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;

5) Применяет организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;

6) Проводит оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;

7) Ведет работу по обнаружению фактов несанкционированного доступа к персональным данным и принятие мер в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

8) Восстанавливает персональные данные, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;

9) Устанавливают правила доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечивает регистрацию и учет всех действий, совершаемых с персональными данными в информационных системах персональных данных;

10) Осуществляет контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;

11) Осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону № 152-ФЗ от 27.07.2006 "О персональных данных", нормативным правовым актам, принятым в соответствии с ним, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

12) Оценивает вред, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных данным Федеральным законом.



6.3. Регистратор осуществляет организацию, в том числе:

1) Систему постоянного мониторинга обнаружения нестандартного поведения информационных систем с последующим анализом на предмет несанкционированного доступа или обычных ошибок;

2) Обеспечение защищенного канала при доступе/обработке персональных данных;

3) Ежегодный аудит информационной системы, который является контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационной системы персональных данных;

4) Слабосвязанную микросервисную архитектуру, где каждый микросервис обрабатывает только те персональные данные и тот минимум, которые необходимы для его работы;

5) Обнаружение фактов несанкционированного доступа к персональным данным и принятие меры, в том числе, по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

6) Принятие локальных актов по вопросам безопасности персональных данных.



6.4. Работники Регистратора, имеющие доступ к персональным данным, ознакомлены с настоящей Политикой и локальными актами по вопросам безопасности персональных данных.