Утверждаю
Генеральный директор
ООО «Рекитт Бенкизер Хэлскэр»
Игорь Радакович

____________________________
Приказ 30/06 от «30» июня 2020 г.



ПОЛИТИКА
в отношении обработки персональных данных пользователей вебсайтов/приложений/потребителей продукции RB
в Обществе с ограниченной ответственностью
«Рекитт Бенкизер Хэлскэр»

1. Общие положения.

Целью Политики в отношении обработки персональных данных пользователей вебсайтов/приложений/потребителей продукции RB (далее – «Политика») является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, четкое и неукоснительное соблюдение требований законодательства Российской Федерации и международных договоров Российской Федерации в области персональных данных. Настоящая политика определяет цели обработки персональных данных пользователей веб-сайтов/приложений/потребителей продукции RB в Обществе с ограниченной ответственностью «Рекитт Бенкизер Хэлскэр» ( ОГРН 1037710036540, ИНН 7710463461, зарегистрированное по адресу: 115114, Российская Федерация, г. Москва, Шлюзовая наб., дом 4, этаж 3, далее – «Общество» или «RB») и устанавливает общие требования к обеспечению их безопасности, основные задачи, функции и права подразделений и работников, в обязанности которых входит обработка персональных данных и обеспечение их безопасности. Настоящая Политика является дополнением к глобальной политике группы компаний Reckitt Benckiser в отношении обработки персональных данных, а также Положению о порядке обработки и обеспечению безопасности персональных данных в Обществе с ограниченной ответственностью «Рекитт Бенкизер Хэлскэр». Глобальная политика группы компаний Reckitt Benckiser размещена и доступна для ознакомления по адресу https://www.rb.com/privacy-policy/ С Положением о порядке обработки и обеспечения безопасности персональных данных в Обществе с ограниченной ответственностью «Рекитт Бенкизер Хэлскэр» вы можете ознакомиться по адресу: https://www.rb.com/ru Настоящая Политика разработана с учётом требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», иных нормативно-правовых актов Российской Федерации, определяющих порядок работы с персональными данными и требования к обеспечению их безопасности. Общество зарегистрировано в качестве оператора персональных данных за номером 77-15-004355.

2. Используемые термины.

В Положении используются следующие термины и определения: автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники; биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных; дата-центр – специализированная организация, предоставляющая услуги по размещению серверного и сетевого оборудования, сдаче серверов (в том числе виртуальных) в аренду, а также по подключению к сети Интернет; конфиденциальность персональных данных – режим работы с персональными данными с соблюдением обязанности лиц, получивших доступ к персональным данным, не раскрывать их третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством; обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных; обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; оператор CRM-системы – лицо, осуществляющее обработку персональных данных по поручению оператора, в частности, осуществляющее деятельность по эксплуатации CRMсистемы, в том числе по обработке персональных данных. персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; продукция RB - продукция, производство иили реализацию которой осуществляет ООО «Рекитт Бенкизер Хэлскэр» или компании, входящие в группу компаний RB; сайт Общества – корпоративный или любой иной сайтстраница в сети Интернет, а также приложения для мобильных устройств и иные похожие виды программного обеспечения, относящийся к одному или нескольким брендам Общества и направленные на продвижение продукции, реализуемой Обществом, созданные иили функционирующиеадминистрируемые по заказу иили под контролем Общества; субъект персональных данных – физическое лицо, к которому относятся персональные данные трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу; уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; маркетинговая акция – стимулирующее мероприятие для потребителей, направленное на стимулирование продаж продукции Общества, организацию и проведение которой осуществляет Общество или иные лица по поручению Общества; участник акций – субъект персональных данных, участвующий в акциях, проводимых Обществом или в интересах Общества, чьи данные хранятся и обрабатываются в системах Общества; CRM – система – совокупность программных средств на базе программного обеспечения, предназначенная для размещения и обработки данных Общества на основании договора с оператором CRM-системы;

3. Категории субъектов, персональные данные которых обрабатываются Обществом в соответствии с настоящей Политикой, цели и срок обработки, состав обрабатываемых персональных данных

Общество является оператором в отношении персональных данных следующих субъектов:

3.1 Пользователей интернет-магазина продукции, реализуемой Обществом (далее – Пользователей интернет-магазина)

Цели обработки: получение сервисов и услуг, предоставляемых интернет-магазином, в том числе, возможности приобретения и доставки продукции; Категории обрабатываемых персональных данных: имя; фамилия; контактный телефон; адрес для доставки; контактный адрес электронной почты (e-mail), сведения о покупках в интернет-магазинах; Срок обработки: Весь период использования Сайта (регистрации на сайте, до момента удаления личного кабинета/записи регистрации);

3.2. Участников маркетинговых акций, проводимых Оператором или в интересах Оператора для целей продвижения продукции RB (далее – Участники Акций)

Цели обработки:

привлечение субъектов к участию в акциях и маркетинговых исследованиях, проводимых Обществом или в интересах Общества, информирование о продукции общества и проводимых им акциях; публикация списков победителей акций и лиц, выигравших призы, организация доставки призов (в случае выигрыша); выполнение Обществом обязанности налогового агента по налогу на доходы физических лиц; проведение маркетинговых исследований и аналитики полученных данных;

Категории обрабатываемых персональных данных:

имя; фамилия; отчество, контактный телефон; контактный адрес электронной почты (e-mail), аккаунт (ID) участника акции в социальных сетях, а также иные персональные данные, предоставление которых предусмотрено условиями проведения конкретной маркетинговой акции; в случае выигрыша - адрес доставки приза, а при стоимости приза, превышающего 4000 (четыре тысячи) рублей – реквизиты документа удостоверяющего личность (номер, серия, наименование органа выдавшего документ, дата выдачи) и ИНН; Для выполнения обязанностей налогового агента по налогу на доходы физических лиц и в целях подтверждения сведений предоставленных участником акции Общество или по поручению Общества оператор конкретной акции вправе запросить у участника акции, выигравшего приз, стоимостью превышающей 4000 (четыре тысячи) рублей копию документа удостоверяющего личность, а также копию ИНН. Участник акции, выигравший приз, вправе предоставить копию документа, удостоверяющего личность без фотографии. В случае предоставлении копии документа удостоверяющего личность с фотографией, обработка сведений, содержащихся в таком документе не является обработкой биометрических персональных данных, поскольку фотография владельца документа не используется для установления (идентификации) его личности.

Срок обработки:

В отношении всех Участников Акции - период проведения акции и далее в течение 3-х лет в отношении сведений, необходимых для разрешения споров, связанных с общим сроком исковой давности; в отношении победителей Акции - в течение 5 лет в части сведений, содержащихся в первичных документах бухгалтерского учета и включаемых в бухгалтерскую отчетность;

3.3. Зарегистрированные (авторизованные) посетители сайтов Общества

Цели обработки:

Регистрация на сайте (в том числе, но не ограничиваясь, в целях участия в маркетинговой акции); информирование о продукции Общества и проводимых им акциях; предоставление посетителю сайта доступа к познавательной информации, размещенной на сайте, направление ответов на обращения посетителей по вопросам, связанным с тематикой сайта.

Категории обрабатываемых персональных данных:

Имя, контактный адрес электронной почты (e-mail), контактный телефон

Срок обработки:

Весь период использования Сайта (регистрации на сайте, до момента удаления личного кабинета/записи регистрации);

3.4. Физические лица, давшие согласие на получение информационной и/или рекламной рассылки от Общества по электронным каналам связи (в том числе, но не ограничиваясь по электронной почте, через смс сообщения, сообщения в мессенджерах) (далее - Получатели рекламной рассылки).

Цели обработки: информирование о продукции Общества и проводимых им акциях, направление целевой информации / рекламы физическому лицу с учётом его личных предпочтений и обстоятельств.

Категории обрабатываемых персональных данных: Имя, фамилия, дата рождения, город, данные о покупках, контактный адрес электронной почты (e-mail), контактный телефон, а также иные персональные данные, которые могут запрашиваться у физического лица при получении согласия на рассылку в конкретном случае.

Срок обработки: С момента предоставления персональных данных и дачи согласия на получение информационной и/или рекламной рассылки от Общества и до момента отзыва субъектом согласия на получение такой рассылки.

3.5. Оговорки:

3.5.1. Физическое лицо может одновременно относится к нескольким категориям субъектов персональных данных, например, в случае регистрации личного кабинета для участия в маркетинговой акции, такое физического лицо рассматривается Обществом как Участник акции и Зарегистрированный (авторизованный) пользователь сайта Общества или Пользователь интернет-магазин или Участник маркетинговой акции, давший согласие на рекламную рассылку, является одновременно и Получателем рекламной рассылки. 3.5.2. В отношении указанных выше субъектов персональных данных, а также в отношении незарегистрированных посетителей интернет-сайтов (и мобильных приложений) Общества (далее – Посетители сайтов) в целях информирования о деятельности Общества, проводимых им мероприятияхакциях и продукции, реализуемой Обществом Общество использует файлы cookie (куки) для сбора информации о посетителях Сайта в маркетинговых целях, включая статистические данные о действиях пользователей на Сайте и в Интернете, которые являются косвенно идентифицирующей таких пользователей информацией. Порядок использования файлов cookie отражен в Политике в отношении файлов cookie. 3.5.3. При обращении физического лица на горячую линию RB, электронный адрес RB, а также через форму обратной связи на сайте Общества Общество не запрашивает и не обрабатывает (не собирает и не хранит) персональные данные пользователя, обращающегося по указанным выше контактам и, в связи с этим не принимает на себя обязанности по выполнению требований, предусмотренных законодательством о персональных данных. Претензии, связанные с защитой прав потребителей, можно направить по адресу: 115114, Российская Федерация, г. Москва, Шлюзовая наб., дом 4, этаж 3 3.5.4. В некоторых случаях сайты Общества могут позволить субъекту персональных данных авторизоваться на сайте с помощью аккаунта субъекта персональных данных в социальной сети или другой учетной записи на сайте третьего лица. Примером стороннего входа является “вход с помощью Facebook". Вход на сайт Общества с помощью аккаунта субъекта персональных данных в социальной сети или другой учетной записи на сайте третьей стороны может позволить Обществу собирать персональные данные, размещенные в соответствующей социальной сети или сайте третьего лица. Авторизовываясь на сайте Общества с помощью своего аккаунта в социальной сети или другой учетной записи на сайте третьего лица субъект персональных данных даёт своё согласие Обществу на обработку персональных данных, размещенных в соответствующей социальной сети или сайте третьего лица. 3.5.5. Общество не принимает на себя никаких обязательств по проверке достоверности персональных данных, указанных Субъектами персональных данных и не несет ответственности в случае, если такой Субъект предоставит больший объем данных, чем это предусмотрено регистрационной формой и целями обработки персональных данных, в том числе специальные категории персональных данных. Предоставляя персональные данные в объеме большем, чем это предусмотрено регистрационной формой и целями обработки персональных данных, указанными в настоящей Политике и в настоящем согласии, субъект персональных данных выражает свое согласие на обработку таких персональных данных Оператором.

4. Принципы обработки персональных данных

Обработка персональных данных Обществом осуществляется в соответствии со следующими принципами: обработка персональных данных осуществляется на законной и справедливой основе; обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей; обработка персональных данных, несовместимая с целями сбора персональных данных, не допускается; объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой, не допускается; обработке подлежат только персональные данные, которые отвечают целям их обработки; содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки; при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных; хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;

5. Условия обработки персональных данных.

Обработка персональных данных Обществом допускается в следующих случаях:

при наличии согласия субъекта персональных данных на обработку его персональных данных. Порядок получения Обществом согласия субъекта персональных данных определен в разделе 8 настоящей Политики; обработка персональных данных необходима для достижения целей, предусмотренных законодательством, а также для осуществления и выполнения возложенных законодательством на Общество функций, полномочий и обязанностей; для заключения договора по инициативе субъекта персональных данных и исполнения договора, стороной которого или выгодоприобретателем по которому является субъект персональных данных; обработка персональных данных Обществом необходима для осуществления прав и законных интересов Общества и/или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъектов персональных данных; обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных; персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с законодательством; Общество не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством, договором с субъектом персональных данных, не указано в полученном от него согласии на обработку персональных данных, или персональные данные не сделаны субъектом общедоступными самостоятельно; Общество не обрабатывает персональные данные, относящиеся к специальным категориям и касающиеся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, о членстве субъектов персональных данных в общественных объединениях; При сборе персональных данных Общество обеспечивает запись, систематизацию, накопление, первичное хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся в офисе Общества и в дата-центрах на территории Российской Федерации в соответствии с требованиями законодательства; Общество не принимает решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.

6. Способы обработки персональных данных

Общество осуществляет обработку персональных данных с использованием средств автоматизации, а также без использования таких средств; Настоящая Политики распространяется в полном объеме на обработку персональных данных с использованием средств автоматизации, а при обработке персональных данных без использования средств автоматизации – только на те случаи, когда такая обработка соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным; Настоящее Положение предусматривает обработку персональных данных любыми способами, предусмотренными законодательством, в том числе путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения персональных данных; При сборе персональных данных Общество обеспечивает запись, систематизацию, накопление, первичное хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся в офисе Общества и в дата-центрах на территории Российской Федерации в соответствии с требованиями законодательства; Общество может осуществлять трансграничную передачу персональных данных субъектов в соответствии с действующим российским законодательством и корпоративными правилами группы RB в головной офис RB в Великобританию, а также в другие страны присутствия RB, находящихся в государствах обеспечивающих, адекватную защиту прав субъектов персональных данных в том числе, в случаях, когда дата-центры расположены на территории иностранного государства. Больше информации о RB, наших брендах, регионах присутствия вы можете найти на сайте www.rb.com. В случае авторизации субъекта персональных данных на сайте Общества через его аккаунт в социальной сети или учетной записи на сайте третьего лица, такой способ авторизации может передавать информацию, косвенно идентифицирующую пользователя, например, имя пользователя и пароль, в соответствующую социальную сеть или третьим лицам. Социальная сеть или третье лицо может также автоматически собирать информацию, такую как IP-адрес, информацию о браузере и устройстве, а также адрес веб-страницы, которую пользователь посещает на сайте Общества. При этом Общество не несет ответственности за деятельность таких третьих лиц. Авторизовываясь на сайте Общества с помощью своего аккаунта в социальной сети или другой учетной записи на сайте третьего лица субъект персональных данных даёт своё согласие на возможность получения указанной в настоящем пункте информации такими социальными сетям и третьими лицами.

7. Конфиденциальность персональных данных.

Общество обеспечивает конфиденциальность обрабатываемых им персональных данных в порядке, предусмотренном законодательством. В соответствии с настоящей Политикой Общество может осуществлять обработку персональных данных указанными выше способами самостоятельно, а также с привлечением третьих лиц, осуществляющих обработку персональных данных указанных выше субъектов по поручению Общества, и иных третьих лиц, которые привлекаются Оператором и осуществляют обработку в соответствии с настоящим положением. Общество вправе поручить обработку персональных данных другому лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора, предусматривающего в качестве существенного условия обязанность лица, осуществляющего обработку персональных данных по поручению Общества, соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством. Объем передаваемых другому лицу для обработки персональных данных и используемые этим лицом способы обработки должны быть минимально необходимыми для выполнения им своих обязанностей перед Обществом. При выполнении поручения Общества на обработку персональных данных лицо, которому такая обработка поручена, вправе использовать для обработки персональных данных свои информационные системы, соответствующие требованиям безопасности, установленным законодательством, что отражается Обществом в заключаемом договоре поручения на обработку персональных данных, либо в договоре, содержащем положения о поручении на обработку персональных данных. В случае, если Общество поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Общество. Лицо, осуществляющее обработку персональных данных по поручению Общества, несет ответственность перед Обществом. На дату вступления в силу настоящей Политики Общество поручает обработку персональных данных следующим организациям: Обществу с ограниченной ответственностью «Пикасель» (ОГРН 1157746843022) адрес: 123298, МОСКВА ГОРОД, УЛИЦА ХОРОШЁВСКАЯ 3-Я, ДОМ 13, КОРПУС 1, ПОМЕЩЕНИЕ 4.4; - технический партнер Сайта www.durex.ru, vk.com/durex Обществу с ограниченной ответственностью «Логистика для Вас» (ОГРН 1097746119096), адрес: 117393, ГОРОД МОСКВА, УЛИЦА АКАДЕМИКА ПИЛЮГИНА, ДОМ 12, КОРПУС 1, Э 1 ПОМ II К 1 ОФ 2; продавец продукции под товарным знаком Durex; оператор CRM-системы www.mydurex.ru Обществу с ограниченной ответственностью «Инфо-контент» (ОГРН 1076674015549), адрес: 620075 ГОРОД ЕКАТЕРИНБУРГ, УЛИЦА РОЗЫ ЛЮКСЕМБУРГ, ДОМ 19, ЭТАЖ 4; Оператор горячей линии сайта www.durex.ru При проведении маркетинговых акций Общество вправе поручить обработку персональных данных лицу, являющемуся Оператором / техническим партнером такой акции в соответствии с заключенным с Обществом договором, и указанному в качестве Оператора / технического партнера акции в условиях проведения соответствующей маркетинговой акции; Указанный перечень не является закрытым; Общество вправе поручать обработку персональных данных любому иному лицу, в том числе, но не ограничиваясь, лицу, входящему в группу компаний Reckitt Benckiser на условиях и в целях, предусмотренных действующим законодательством и настоящей Политикой.

8. Согласие субъекта персональных данных на обработку своих персональных данных.

Субъект персональных данных принимает решение о предоставлении своих персональных данных Обществу и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным и может предоставляться субъектом в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством. В частности, согласие считается предоставленным, если субъект персональных данных отмечает соответствующее поле («тик-бокс») в регистрационной формеформе обратной связи на сайте Общества, или путем нажатия кнопки «Согласен» чтобы подтвердить согласие с настоящей Политикой (иными документами по вопросам обработки персональных данных). Помимо прочего субъект персональных данных даёт согласие на обработку своих персональных данных, акцептуя оферту о предоставлении им информации, услуг и возможности участия в акциях, проводимых Обществом и/или в его интересах. Акцептом оферты является предоставление Участниками акций персональных данных, запрашиваемых Обществом или по поручению общества, в специально разработанных для этого анкетах участников акций или в веб-формах на интернет-сайтах Общества и/или его контрагентов, организующих и проводящих акции в интересах Общества. Согласие Субъекта на обработку их персональных данных, получаемых Обществом при использовании файлов cookie, дается путем принятия условий Политики в отношении файлов cookie и простановки соответствующей отметки («галочки») в чек-боксе на сайтах Общества или путем нажатия на соответствующей иконке уведомления (и/или путем нажатия на иконку закрытия баннера) со ссылкой на Политику в отношении файлов cookie. Субъект персональных данных вправе в любой момент отозвать свое согласие на обработку персональных данных Обществом, подав письменное заявление в произвольной форме, содержащее сведения об основном документе, удостоверяющем личность субъекта. При этом в случае, если согласие на обработку персональных данных было изначально предоставлено субъектом в электронной форме на сайте Общества: Отзыв такого согласия может быть произведен как в бумажной, так и в электронной форме с использованием аккаунта (учетной записи) соответствующего пользователя на сайте Общества; В случае получения отзыва в бумажной форме, Общество в целях идентификации субъекта персональных данных вправе запросить у такого лица дополнительные сведения, предоставленные субъектом персональных данных при регистрации на сайте Общества, либо попросить данное лицо направить электронный запрос на отзыв согласия через соответствующий аккаунт (учетную запись) субъекта персональных данных на сайте Общества. В случае невыполнения обратившимся лицом указанных дополнительных действий Общество вправе отказать такому лицу в отзыве согласия на обработку персональных данных в целях защиты прав третьих лиц.

Последствия отзыва субъектом персональных данных согласий на обработку.

В случае отзыва ранее данного согласия на обработку персональных данных Пользователем интернет-магазина он не сможет воспользоваться Сайтом и предоставляемыми с его помощью услугами; В случае отзыва ранее данного согласия на обработку персональных данных Участником акции до её завершения он не сможет далее участвовать в такой акции в том числе получить приз, в случае его выигрыша; В случае отзыва ранее данного согласия на обработку персональных данных Зарегистрированным (авторизованным) посетителем сайта Общества он не сможет получить ответ на своё обращение, связанное с тематикой сайта; В случае отзыва ранее данного согласия на обработку персональных данных Получателем рекламной рассылки он не сможет получать информационную и/или рекламную рассылку. В случае отзыва субъектом согласия на обработку своих персональных данных, если законных оснований продолжить их обработку нет, Общество прекращает обработку таких персональных данных (обеспечивает прекращение их обработки лицами, которым такая обработка поручена Обществом) и уничтожает персональные данные (обеспечивает уничтожение персональных данных) в срок, не превышающий 30 дней с даты поступления указанного отзыва;

9. Права субъектов персональных данных.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей подтверждение факта обработки его персональных данных Обществом; сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или в соответствии законодательством, информацию об осуществленной или о предполагаемой трансграничной передаче данных; иные сведения, предусмотренные законодательством; Субъект персональных данных вправе требовать от Общества уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также вправе принимать предусмотренные законодательством меры по защите своих прав. Требование субъекта должно быть представлено в письменной или электронной форме с указанием сведений о документе, удостоверяющем личность, или персональных данных, указанных им при предоставлении своих персональных данных Обществу, и позволяющих его идентифицировать. Запрос субъекта на предоставление информации, связанной с обработкой его персональных данных Обществом должен содержать: фамилию, имя и отчество субъекта персональных данных или его представителя; номер основного документа, удостоверяющего личность субъекта персональных данных, а также его представителя (если запрос направлен представителем), сведения о дате выдачи указанного документа (документов) и выдавшем его (их) органе (органах); сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом подпись субъекта персональных данных или его представителя.

10. Обеспечение безопасности персональных данных.

Безопасность персональных данных достигается в Обществе путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иные несанкционированные действия. Безопасность персональных данных, обрабатываемых Обществом, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований законодательства о персональных данных

Правовые меры, принимаемые Обществом, включают:

разработку локальных актов Общества, реализующих требования законодательства, в том числе настоящей Политики Общества в отношении обработки персональных данных; отказ от любых способов обработки персональных данных, не соответствующих определенным в настоящей Политике целям и требованиям законодательства.

Организационные меры, принимаемые Обществом, включают:

назначение лица, ответственного за организацию обработки персональных данных; назначение лица, ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных; ограничение состава работников Общества, имеющих доступ к персональным данным, и организацию разрешительной системы доступа к ним; ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями к защите персональных данных, с Положением, другими локальными актами Общества по вопросам обработки персональных данных; обучение всех категорий работников Общества, непосредственно осуществляющих обработку персональных данных, правилам работы с ними и обеспечения безопасности обрабатываемых данных; определение в должностных инструкциях/ трудовых договорах работников Общества обязанностей по обеспечению безопасности обработки персональных данных и ответственности за нарушение установленного порядка; регламентацию процессов обработки персональных данных; организацию учёта материальных носителей персональных данных и их хранения, обеспечивающих предотвращение хищения, подмены, несанкционированного копирования и уничтожения; определение типа угроз безопасности персональных данных, актуальных для информационных систем персональных данных, с учетом оценки возможного вреда субъектам персональных данных, который может быть причинен в случае нарушения требований безопасности, определение уровня защищенности персональных данных и требований к защите персональных данных при их обработке в информационных системах, исполнение которых обеспечивает установленные уровни защищенности персональных данных; определение угроз безопасности персональных данных при их обработке в информационных системах, формирование на их основе частной модели (моделей) актуальных угроз; размещение технических средств обработки персональных данных в пределах охраняемой территории; ограничение допуска посторонних лиц в помещения Общества, недопущение их нахождения в помещениях, в которых ведется работа с персональными данными и размещаются технические средства их обработки, без контроля со стороны работников Общества.

Технические меры, принимаемые Обществом, включают:

разработку на основе частной модели актуальных угроз системы защиты персональных данных для установленных Правительством Российской Федерации уровней защищенности персональных данных при их обработке в информационных системах; использование для нейтрализации актуальных угроз средств защиты информации, прошедших процедуру оценки соответствия; оценку эффективности принимаемых мер по обеспечению безопасности персональных данных; реализацию разрешительной системы доступа работников к персональным данным, обрабатываемым в информационных системах, и к программно-аппаратным и программным средствам защиты информации; регистрацию и учёт действий c персональными данными пользователей информационных систем, в которых обрабатываются персональные данные; выявление вредоносного программного обеспечения (применение антивирусных программ) на всех узлах информационной сети Общества, обеспечивающих соответствующую техническую возможность; безопасное межсетевое взаимодействие (применение межсетевого экранирования); обнаружение вторжений в информационную систему Общества, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных; восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (создание системы резервного копирования и восстановления персональных данных); контроль за выполнением настоящих требований (самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации) не реже 1 раза в 3 года; При размещении информационной системы в дата-центре часть мер безопасности может быть принята дата-центром, что отражается в договоре между Обществом и датацентром

11. Заключительные положения.

Настоящая Политика подлежит размещению на сайтах Общества с предоставлением неограниченного доступа к ней любого лица; Общество вправе в любое время пересмотреть положения настоящей Политики с обязательным опубликованием измененной редакции на сайте Общества; внесенные изменения порождают для Субъекта персональных данных правовые последствия с момента опубликования измененной редакции настоящей Политики; Субъекты персональных данных, действуя свободно, своей волей и в своем интересе, предоставляет конкретное, информированное и сознательное согласие со всеми положениями настоящей Политики. В случае несогласия субъектов персональных данных с положениями настоящей Политики субъекты не должны предоставлять свои персональные данные Оператору. В случае возникновения вопросов относительно положений и порядка действия настоящей Политики субъект персональных данных в любое время вправе обратиться за разъяснениями к Обществу, направив обращение по адресу: 115114, Российская Федерация, г. Москва, Шлюзовая наб., дом 4, этаж 3, или на адрес электронной почты: contact_ru@rb.com.