Политика конфиденциальности

1. Общие положения

1.1. Настоящим ООО «Интернет-Технологии» (ИНН 7448104809, ОГРН 1087448005050) — зарегистрированное по адресу: 630099, Новосибирская обл., г. Новосибирск, ул. Депутатская, д. 46, этаж 5 офис 3053 (далее — «Оператор») определяет правила обработки персональных данных в порядке статьи 18.1 Федерального закона «О персональных данных».

1.2. В настоящей политике используются следующие понятия и термины:

  • персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
  • обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
  • распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • субъект персональных данных — физическое лицо, к которому прямо или косвенно относятся персональные данные.

1.3. Субъектом персональных данных является пользователь сайта и/или мобильного приложения.

2. Правовым основанием обработки персональных данных являются

  • согласие субъекта персональных данных;
  • ФЗ «О персональных данных»;
  • иные акты нормативного и ненормативного характера, регламентирующие отношения, связанные с деятельностью Оператора.

3. Цель, виды, способы обработки персональных данных

3.1. Данные используются с целью создания личного кабинета пользователя, персонализации данных, установления связи с авторизованным пользователем. Данные включают в себя ID пользователя в сервисах VK, указанное при регистрации пользователем имя.

3.2. Оператор вправе собирать, записывать, систематизировать, накапливать, хранить, уточнять (обновлять, изменять), использовать, передавать (предоставлять доступ), удалять, уничтожать персональные данные.

3.3. Обработка персональных данных осуществляется смешанно (как с использованием средств автоматизации, так и без использования таковых), с передачей по внутренней сети Оператора и с передачей по сети Интернет.

3.4. С политикой обработки персональных данных, содержащихся в куки-файлах, можно ознакомиться здесь.

4. Сроки обработки, хранения и порядок удаления персональных данных

4.1. Персональные данные обрабатываются и хранятся в срок до достижения целей обработки персональных данных или отзыва согласия на обработку персональных данных. Персональные данные могут храниться как на материальных носителях, так и в электронном виде, как с использованием средств автоматизации, так и без такового.

4.2. При достижении целей обработки персональных данных такие данные уничтожаются, только если Оператор не вправе продолжить обработку персональных данных (в том числе путем хранения) без согласия субъекта персональных данных в порядке, предусмотренном законодательством Российской Федерации.

4.3. Уничтожение персональных данных, хранящихся на материальном носителе, осуществляется любым способом, исключающим ознакомление лица с персональными данными. Уничтожение персональных данных, хранящихся на электронном носителе, осуществляется методом удаления файлов и их остатков без возможности восстановления, предусмотренном производителем носителя.

4.4. Пользователь вправе отозвать согласие на обработку персональных данных, направив требование по адресу support@maxdash.ru. При этом сообщение должно поступить с адреса, указанного при регистрации.

5. Условия обработки персональных данных

5.1. Персональные данные субъекта персональных данных обрабатываются для достижения отмеченных выше целей.

5.2. Оператор вправе передать персональные данные по внутренней сети в рамках группы компаний (холдинг, частью которого является Оператор). Передача персональных данных по запросу органов государственной власти, а также иным уполномоченным лицам (например, адвокатам) допускается в порядке требований законодательства Российской Федерации. Трансграничная передача персональных данных не осуществляется.

5.3. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе обрабатывать эти данные при том условии, что это предусмотрено законом.

6. Меры реализации защиты персональных данных

Оператор применяет следующие средства защиты персональных данных, прошедшие процедуру оценки соответствия установленным требованиям:

Средства межсетевого экранирования и контроля сетевого трафика, системы обнаружения и предотвращения атак, включая защиты от DDoS-атак на уровнях L3/L4 и L7, программные средства криптографической защиты информации при передаче данных (TLS), средства обнаружения и предотвращения атак (WAF, Fail2ban), системы управления доступом к серверам и информационным ресурсам, средства журналирования и хранения событий безопасности, а также программные средства резервного копирования и восстановления данных.

Ответственным за обеспечение безопасности персональных данных в информационных системах является Корпоративный директор по технологиям.

Контроль за выполнением Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных Постановлением Правительства Российской Федерации от 01.11.2012 N 1119, проводится не реже 1 раза в 3 года в следующем порядке:

  • Проверяется актуальность модели угроз и перечня реализованных мер защиты, включая анализ изменений в инфраструктуре, составе ИСПДн, каналах передачи данных и используемых сервисах.
  • Оценивается состояние технических мер защиты, включая: межсетевое экранирование (firewall); криптографическую защиту передачи данных (TLS); средства обнаружения и предотвращения атак (WAF, Fail2ban, DDoS-защита уровней L3/L7); средства журналирования и хранения событий безопасности; механизмы резервного копирования и восстановления данных; управление доступом к серверам, базам данных и административным интерфейсам.
  • Проверяется соблюдение организационных мер защиты персональных данных, включая актуальность приказов, регламентов и распределения ролей, а также соблюдение порядка администрирования и управления доступами.
  • Проводится анализ журналов событий безопасности с целью выявления инцидентов информационной безопасности, попыток несанкционированного доступа, ошибок конфигурации или нарушений режима защиты.
  • Выполняется оценка достаточности, корректности и соответствия применяемых мер защиты требованиям Постановления № 1119 и установленному уровню защищённости ИСПДн.
  • Оформляется акт внутреннего контроля, содержащий выявленные несоответствия, рекомендации по их устранению и сроки выполнения корректирующих мероприятий.
  • Проводится контроль выполнения корректирующих действий, определённых в акте проверки, до полного устранения выявленных нарушений.