Утверждено приказом No 006 от 26.05.2021

Директора ООО «Ломба» Беспалова Антона Евгеньевича
ПОЛИТИКА
в отношении обработки персональных данных Пользователей Сайта и Мобильного приложения (редакция No1)

1. Общие положения
1.1. Политика ООО «Ломба» ОГРН: 1217600000397, ИНН: 7610133406 (далее – Оператор) в отношении обработки персональных данных (далее – Политика) разработана, утверждена и применяется Оператором в соответствии с требованиями Федерального закона от 27 июля 2006 г. No152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных») и определяет цели, общие принципы и правила обработки персональных данных, полученных через Сайт или Мобильное приложение, у Оператора.
1.2. Локальные нормативные акты и другие внутренние документы Оператора, регламентирующие обработку персональных данных, разрабатываются с учетом положений Политики.
1.3. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных Оператор публикует Политику в свободном доступе в информационно- телекоммуникационной сети Интернет на сайте Оператора по адресу: https:// ru.lomba.io/.

2. Основные понятия, используемые в Политике:
2.1. Под персональными данными следует понимать любую информацию, которая
относится прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Данные, не определяющие личность человека и гражданина или не позволяющие определить такую личность даже с применением каких-либо процедур, не являются персональными данными.
2.2. Субъект персональных данных (Субъект) – это физическое лицо, персональные данные которого обрабатывает Оператор.
2.3. Под обработкой персональных данных следует понимать любое действие (операцию) или совокупность действий (операций), совершаемых с

 использованием средств автоматизации или без использования таких средств, с персональными данными (смешанная обработка), включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Действия Оператора при обработке персональных данных могут быть ограничены согласием субъекта персональных данных или соглашением, заключенным между Оператором и субъектом персональных данных.
2.4. Оператор может обрабатывать персональные данные с помощью средств вычислительной техники (автоматизированная обработка персональных данных). Оператор также вправе осуществлять неавтоматизированную обработку персональных данных. Под неавтоматизированной обработкой персональных данных понимается обработка персональных данных, которая осуществляются при непосредственном участии человека.
2.5. Пользователь – любой посетитель Сайта или лицо, которое скачало и установило Мобильное приложение на свое устройство (телефон, планшет).
2.6. Оператор, в соответствии с Политикой, вправе совершать следующие действия, но не ограничиваясь ими:
2.6.1. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.6.2. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.6.3. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.6.4. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.6.5. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

 2.6.6. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.6.7. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.7. Оператор осуществляет обработку персональных данных, полученных им на Сайте и в Мобильном приложении. Сайт представляет собой совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети «Интернет» (далее - сеть «Интернет») по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети «Интернет». Сайт доступен по URL-адресу: https:// ru.lomba.io/.
2.8. Страница сайта в сети «Интернет» – часть сайта в сети «Интернет», доступ к которой осуществляется по указателю, состоящему из доменного имени и символов, определенных владельцем сайта в сети «Интернет».
2.9. Мобильное приложение – это совокупность технических средств, представляющих собой программу, которая предназначена для ее использования на мобильном телефоне или планшете. Мобильное приложение представляет собой адаптированную версию Сайта для мобильного телефона в качестве программного обеспечения, которое устанавливается на мобильное устройство. Архитектурное решение (интерфейс), которое Оператор предоставляет субъекту персональных данных в Мобильном приложении, может отличаться от Сайта.
2.10. Cookie-файлы – это информация, которая может содержать следующие сведения о субъекте персональных данных: IP-адрес устройства, данные геолокации, информация о программе, с помощью которой осуществляется доступ к Сайту или Мобильному приложению, технические характеристики оборудования и программного обеспечения, используемые Субъектом, дата и время доступа к Сайту или Мобильному приложению и иные подобные сведения.
2.11. Иные термины, которые используются по тексту Политики, но специально не определены в настоящем разделе, употребляются в значении, определенном в законодательстве Российской Федерации или пользовательском соглашении,

 которое субъект персональных данных заключает с Оператором при использовании Сайта или Мобильного приложения.

3. Принципы, которыми руководствуется Оператор при обработке персональных данных
3.1. Обработка персональных данных Оператором осуществляется на законной и справедливой основе.
3.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.3. Оператор не объединяет базы данных, которые содержат персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.4. Оператор обрабатывает только персональные данные, которые отвечают целям их обработки.
3.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.
3.6. При обработке персональных данных Оператор обеспечивает точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
3.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законом.
3.8. Сотрудники Оператора, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

4. Правовые основания обработки персональных данных
4.1. Правовыми основаниями обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
4.1.1. Международные правовые акты, в соответствии с которыми Оператор обрабатывает персональные данные;
4.1.2. Гражданский кодекс Российской Федерации;
4.1.3. Федеральный закон от 27 июля 2006 года No 149-ФЗ «Об информации,
информационных технологиях и о защите информации»;
4.1.4. иные нормативные правовые акты Российской Федерации и нормативные
документы уполномоченных органов государственной власти;
4.1.5. согласие субъекта персональных данных на обработку.

5. Цели обработки персональных данных. Категории и объем персональных данных субъекта, обрабатываемых Оператором
5.1. Оператор обрабатывает персональные данные Пользователей в соответствии с правилами обработки, определенными в Политике.
5.2. Оператор осуществляет обработку персональных данных, предоставляемых с использованием Сайта и Мобильного приложения, в следующих целях и объеме:
5.2.1. Исполнение соглашения с Пользователем по предоставлению доступа к функционалу Личного кабинета, а также к материалам и информации из Личного кабинета после окончания регистрации в Мобильном приложении. В частности, для подтверждения принадлежности учетной записи заявителю, обратившемуся с запросом о восстановлении доступа к учетной записи, для управления сервисом и его администрирования и другое:
⎯ Данные о Пользователе, предоставляемые Пользователем в Мобильном приложении (в том числе путем регистрации/авторизации в Мобильном приложении с использованием социальных сетей) для создания учетной записи в процессе регистрации, включая имя, фамилию, номер мобильного телефона, местоположение, дату рождения, пол (мужской пол или женский пол), адрес электронной почты, ссылку на профиль в социальной сети;

 ⎯ Данные, дополнительно предоставляемые Пользователем по запросу Оператора (сведения, указанные Пользователем в учетной записи, как например, имя и фамилия, адрес электронной почты, номер телефона).
5.2.2. Исполнение соглашения с Пользователем по предоставлению доступа к функционалу Личного кабинета, а также к материалам и информации из Личного кабинета после окончания регистрации в Мобильном приложении:
⎯ Геолокация, фото профиля, информация, созданная Пользователем в Сервисе вне раздела редактирования профиля Пользователя (фотографии и описание товаров);
⎯ Информация, полученная в результате поведенческих действий Пользователя в Мобильном приложении (дата регистрации в Мобильном приложении, разделы Мобильного приложения, посещаемые Пользователем, сведения в разделе «Подать заявку, сведения в разделе «Общение», заявки Пользователя, включенные в раздел «Оценки»).
5.2.3. Исполнение соглашения с Пользователем по предоставлению доступа к функционалу Личного кабинета. В частности, для улучшения работы и содержания Мобильного приложения, предотвращения и пресечения любых ошибок, которые могут возникнуть при использовании Мобильного приложения, и персонализации использования Мобильного приложения:
⎯ Данные, которые становятся доступными Оператору в процессе использования Пользователем Мобильного приложения для Android, в том числе тип устройства, имя устройства, GAID, OpenUDID, версия ОС, модель устройства, часовой пояс, предпочитаемый язык, Device ID For Vendor, название Wi-Fi сети, MAC точки доступа Wi-Fi, наименование оператора сотовой связи, код сети оператора (MNC), User ID, имя ОС, версия приложения, год выпуска мобильного устройства Пользователя, тип интернет соединения, Apps Flyer UID;
⎯ Данные, которые становятся доступными Оператору в процессе использования Пользователем Мобильного приложения для Apple, в том числе тип устройства, имя устройства, IDFA, Open UDID, Apps Flyer UID, версия ОС, модель устройства, часовой пояс, предпочитаемый язык, Device ID For Vendor, геопозиция, название Wi-Fi сети, MAC точки доступа Wi-Fi, название оператора сотовой связи, код сети оператора (MNC);
⎯ информация о cookie-файлах.

 5.2.4. Исполнение соглашения с Пользователем по предоставлению доступа к Сайту:
⎯ Данные, которые становятся доступными Оператору в процессе
использования Пользователем Сайта (IP-адрес, сведения о браузере Пользователя (в том числе язык интерфейса, размеры экрана, User Agent браузера и прочее), часовой пояс, язык системы, сведения об операционной системе;
⎯ информация о cookie-файлах.
5.2.5. Организация информационного взаимодействия между Субъектом и
юридическими лицами, индивидуальными предпринимателями, которые договариваются об условиях договора:
⎯ Фамилия и имя;
⎯ Адрес электронной почты;
⎯ Местоположение;
⎯ Год рождения;
⎯ Пол (мужской пол или женский пол).
5.2.6. Рассмотрение обращения Субъекта и направление ответа на соответствующее обращение:
⎯ Имя;
⎯ Адрес электронной почты;
5.2.7. Обеспечение надлежащего функционирования Сайта, Мобильного приложения:
⎯ информация о cookie-файлах.
5.3. Оператор обрабатывает год рождения Субъекта и его половую принадлежность
только в случае, когда Пользователь авторизовался в Мобильном приложении с использованием социальных сетей и выразил согласие оператору социальной сети на передачу указанных данных Оператору.
5.4. Оператор не обрабатывает биометрические данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность), а также данные, относящиеся к специальным категориям (расовая или национальная принадлежность, политические взгляды, религиозные или философские убеждения, сведения о состоянии здоровья, интимной жизни).
5.5. Оператор гарантирует, что обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.

 6. Порядок и условия обработки персональных данных
6.1. Оператор совершает следующие действия с персональными данными Субъекта: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, иные действия.
6.2. Оператор хранит персональные данные на территории Российской Федерации.
6.3. Обработка персональных данных осуществляется также путем получения
персональных данных от третьих лиц, в частности от Facebook, Inc., ATTN: Privacy Operaèons, 1601 Willow Road, Menlo Park, CA 94025, Apple, Inc., ATTN: 1 Infinite Loop, Cuperèno, CA 95014, Общества с ограниченной ответственностью «В
Контакте» (ООО «В Контакте»), адрес места нахождения: 191024, г. Санкт- Петербург, Херсонская ул., д. 12-14 литер а, помещение 1-н, ОГРН: 1079847035179, Общества с ограниченной ответственностью «Гугл» (ООО «Гугл»), адрес места нахождения: 115035, г. Москва, ул. Балчуг, д.7, ОГРН 1057749528100 и иным образом;
6.4. Срок обработки персональных данных – с даты предоставления персональных данных субъекта до достижения цели обработки персональных данных. Иной срок обработки персональных данных может быть определен в согласии Субъекта и в законодательстве Российской Федерации.
6.5. Обработка персональных данных Оператором ведется смешанным способом: с использованием средств автоматизации (автоматизированная обработка) и без использования средств вычислительной техники (неавтоматизированная обработка). Оператор не принимает никаких решений, порождающих юридические последствия в отношении Субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

7. Передача персональных данных третьим лицам
7.1. Оператор для достижения целей, указанных в п. 5.2 Политики, не передает персональные данные третьим лицам.
7.2. Оператор вправе поручить обработку персональных данных третьему лицу. При поручении обработки персональных данных третьим лицам Оператор обеспечивает обязательное выполнение требований законодательства Российской Федерации в области персональных данных. Третье лицо при обработке

 персональных данных соблюдает положения Политики, в частности принципы,
требования к способам обработки и защите персональных данных.
7.3. Оператор поручает обработку персональных данных и передает их:
7.3.1. Акционерному обществу «Региональный Сетевой Информационный Центр» (АО
«РСИЦ»), адрес места нахождения: 123308, г. Москва, ул. 3-Я Хорошёвская, д. 2 стр. 1, этаж 4 пом. I ком. 40, ОГРН 1067746823099 с целью хранения персональных данных.
7.4. При поручении обработки персональных данных третьему лицу Оператор определяет цели, условия, сроки обработки персональных данных, обязанность третьего лица принять меры по обеспечению конфиденциальности персональных данных, права, обязанности и ответственность сторон, касающиеся обработки персональных данных. Оператор вправе конкретизировать условия Политики в поручении третьему лицу на обработку персональных данных.
7.5. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам в случаях и по основаниям, предусмотренным действующим законодательством Российской Федерации.
7.6. Оператор после передачи персональных данных третьим лицам обязуется обеспечить обезличивание, уничтожение, уточнение персональных данных в соответствии с Федеральным законом «О персональных данных».
7.7. Оператор при передаче персональных данных третьим лицам, сообщает им о мерах, которые принимает Оператор для защиты персональных данных и соблюдения их конфиденциальности. При поручении обработки персональных данных Оператор вправе требовать от третьих лиц принятие мер, указанных в настоящем пункте.
7.8. Оператор раскрывает персональные данные субъектов третьим лицам в случаях:
7.8.1. действующего согласия субъекта персональных данных на передачу и
заключенного соглашения между Оператором и третьим лицом на поручение
обработки персональных данных;
7.8.2. законодательством предусмотрена обязанность Оператора раскрыть или передать
персональные данные субъекта.
7.9. Трансграничная передача персональных данных допускается с согласия субъектов
персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации.

 7.10. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции о защите физических лиц при автоматизированной обработке персональных данных (заключена в г. Страсбурге 28.01.1981), далее – Конвенция, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с Федеральным законом «О персональных данных» и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. Трансграничная передача персональных данных на территорию иностранного государства, не являющегося стороной указанной Конвенции, осуществляется в соответствии с законодательными актами Российской Федерации при условии соответствия действующих в этом государстве норм права и применяемых мер безопасности персональных данных положениям Конвенции.

8. Права и обязанности оператора и субъекта персональных данных
8.1. Оператор обеспечивает права субъектов персональных данных в порядке, установленном главами 3 и 4 Федерального закона «О персональных данных».
8.2. Оператор в процессе обработки персональных данных вправе:
8.2.1. Обрабатывать персональные данные субъектов в соответствии с положениями
Политики;
8.2.2. Предоставлять персональные данные субъектов третьим лицам в соответствии с
положениями Политики и на основании, предусмотренном действующим
законодательством;
8.2.3. Требовать от субъекта персональных данных своевременного уточнения
предоставленных персональных данных;
8.2.4. Требовать от субъекта персональных данных предоставления достоверных
персональных данных, необходимых и достаточных для цели их обработки;
8.2.5. Поручить обработку персональных данных другому (третьему) лицу с согласия
субъектов персональных данных;
8.2.6. Защищать свои интересы в суде и иных государственных и муниципальных органах.
8.2.7. Проверять достоверность информации, указанной Субъектом при регистрации,
через открытые источники данных, включая государственные информационные системы.

 8.2.8. Обрабатывать персональные данные Субъекта с использованием метрических программ Яндекс.Метрика, Google Analyècs, Пиксель Вконтакте, Пиксель Facebook, Пиксель top@mail.ru, Пиксель Google Tag Manager.
8.2.9. Предоставить информацию о Субъекте персональных данных третьим лицам для выявления и пресечения мошеннических действий, устранения технических неполадок или проблем с безопасностью.
8.3. Оператор обязан:
8.3.1. Соблюдать и обеспечивать конфиденциальность персональных данных, а именно
не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Политикой и законодательством Российской Федерации.
8.3.2. При сборе персональных данных, в том числе посредством информационно- телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
8.3.3. Прекратить обработку или блокировать, уничтожить персональные данные субъекта в случаях, предусмотренных действующим законодательством Российской Федерации.
8.3.4. Принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его (законного представителя) обращением с законными и обоснованными требованиями.
8.3.5. Хранить персональные данные в форме, позволяющей определить субъекта, в течение необходимого срока, определенного в соответствии с Политикой.
8.3.6. Предоставить информацию об осуществляемой обработке персональных данных в отношении субъекта персональных данных по запросу (обращению) последнего или его представителя.
8.4. Субъект персональных данных имеет право:
8.4.1. на безвозмездное ознакомление с положениями Политики и объемом
персональных данных, которые обрабатывает Оператор. Право субъекта персональных данных на доступ к его персональным данным может быть ограничен в соответствии с законодательством Российской Федерации и международными актами.

 8.4.2. на получение информации, касающейся обработки Оператором его персональных данных. Объем предоставляемой информации определен в ч. 7 ст. 14 Федерального закона «О персональных данных»;
8.4.3. требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
8.4.4. обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
8.4.5. на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
8.4.6. взаимодействовать с Оператором через представителя. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в соответствии с законодательством Российской Федерации.
8.4.7. отозвать согласие на обработку персональных данных в части или полностью;
8.5. Субъект персональных данных обязан:
8.5.1. сообщать Оператору достоверную информацию о себе в объеме, необходимом для
достижения цели обработки;
8.5.2. сообщать Оператору об уточнении (обновлении, изменении) своих персональных
данных.
8.5.3. соблюдать Политику и законодательство Российской Федерации о персональных
данных.

9. Конфиденциальность. Меры защиты, реализуемые Оператором при обработке персональных данных.
9.1. Оператор признает персональные данные конфиденциальной информацией и осуществляет защиту такой информации при ее обработке в соответствии с законодательством (ст. 7, ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных») и локальными нормативными актами, содержащими положения о работе с конфиденциальной информацией.
9.2. Под конфиденциальной информацией следует понимать сведения, которые Оператор получил от Субъекта, включая персональные данные Субъекта, и в

 отношении которых Оператор ввел режим конфиденциальности. Конфиденциальность – это режим, средства и меры защиты, которые принимает Оператор для защиты конфиденциальной информации от третьих лиц.
9.3. Оператор признает персональные данные конфиденциальной информацией и осуществляет обработку такой информации в соответствии с Законодательством (ст. 7, ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных») и локальными нормативными актами, содержащими положения о работе с конфиденциальной информацией. Обеспечение конфиденциальности не требуется в отношении:
9.3.1. персональных данных после их обезличивания;
9.3.2. персональных данных, подлежащих опубликованию или обязательному раскрытию
в соответствии с законодательством Российской Федерации.
9.4. Не является нарушением конфиденциальности персональных данных
предоставление Оператором информации третьим лицам, действующим на основании договора с Оператором для исполнения обязательств перед Субъектом персональных данных.
9.5. Оператор осуществляет хранение персональных данных таким способом, который исключает их утрату или их неправомерное использование в базах данных, находящихся на территории Российской Федерации.
9.6. Оператор при обработке персональных данных с целью соблюдения положений ст. 18.1 и 19 Федерального закона от 27.07.2006 No152-ФЗ «О персональных данных» принимает следующие меры:
9.6.1. разработка и принятие локальных нормативных актов, регламентирующих обработку и защиту персональных данных у Оператора;
9.6.2. утверждение руководителем Оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
9.6.3. назначение должностных лиц, ответственных за обеспечение безопасности персональных данных в информационных системах;
9.6.4. ознакомление сотрудников, которые имеют доступ к персональным данным субъектов с локальными нормативными актами Оператора;
9.6.5. организация обучения и проведение методической работы с работниками, осуществляющими обработку персональных данных у Оператора;

 9.6.6. обеспечение безопасности и пропускного режима в помещениях, в которых хранятся материальные носители, содержащие персональные данные субъектов;
9.6.7. осуществление внутреннего контроля и аудита процессов по обработке персональных данных на соответствие законодательству, локальным нормативным актам Оператора;
9.6.8. организует сбор и хранение персональных данных с использованием баз данных, которые находятся на территории Российской Федерации;
9.6.9. категоризирует персональные данные субъектов в зависимости от способов, целей обработки персональных данных, объема персональных данных, возможного вреда, который может быть причинен субъектам персональных данных в результате нарушения конфиденциальности персональных данных;
9.6.10. в локальных нормативных актах определяет меры защиты относительно каждой категории персональных данных;
9.7. Для обеспечения безопасности персональных данных Оператор совершает следующие действия:
9.7.1. определяет актуальные угрозы безопасности персональных данных при их обработке в информационной системе Оператора;
9.7.2. определяет уровни защищенности персональных данных;
9.7.3. использует средства защиты информации, прошедшие соответствующую проверку
и обеспечивающие надлежащую защиту определенной категории персональных
данных;
9.7.4. восстанавливает персональные данные измененные или уничтоженные в
результате несанкционированного доступа к персональным данным и в
информационную систему Оператора;
9.7.5. организует контроль и учет действий сотрудников и иных лиц, получивших доступ к
информационной системе Оператора;
9.7.6. использует антивирусную защиту на всех устройствах Оператора, подключенных к
информационной системе;
9.7.7. организует учет и сохранность материальных носителей, которые содержат
персональные данные;
9.8. Контроль за актуальностью используемых мер защиты, принимаемых Оператором,
осуществляет уполномоченный сотрудник Оператора не реже одного раза в 3 (три) года.

 10. Обращения Субъектов
10.1. Сведения, указанные в части 7 статьи 14 Федерального закона «О персональных данных», предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Полномочия представителя на представление интересов Субъекта подтверждаются соответствующим документом, определенным законодательством Российской Федерации.
10.2. Сведения предоставляются в доступной форме, в них не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
10.3. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Федерального закона «О персональных данных» все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
10.4. Запрос должен содержать данные основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором, либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись (в том числе электронная) субъекта персональных данных или его представителя.
10.5. Если в обращении (запросе) субъекта персональных данных не отражены все необходимые в соответствии с Политикой и требованиями Федерального закона «О персональных данных» сведения или субъект не обладает правами доступа к запрашиваемой информации, Оператор вправе запросить дополнительную информацию или направить мотивированный отказ по тому каналу связи, по которому Оператор получил обращение.
10.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона «О персональных данных», в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
10.7. Запрос, обращение субъекта персональных данных, отзыв согласия на обработку персональных данных считаются полученными Оператором в дату регистрации входящей корреспонденции у Оператора.

 11. Актуализация, исправление, удаление и уничтожение персональных данных
11.1. В случае выявления обстоятельств, предусмотренных Федеральным законом «О персональных данных», Оператор обязан:
11.1.1.В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, внести в них необходимые изменения.
11.1.2.В срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, уничтожить такие персональные данные.
11.1.3.Уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
11.1.4.Сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 (тридцати) дней с даты получения такого запроса.
11.2. Субъект направляет обращение Оператору по реквизитам, указанным в разделе 13 Политики.
11.3. Обращение субъекта персональных данных в свободной форме должно содержать: 11.3.1.наименование оператора;
11.3.2.фамилию, имя, отчество, паспортные данные субъекта персональных данных; 11.3.3.сведения, подтверждающие участие субъекта персональных данных в отношениях с
Оператором, либо сведения, иным образом подтверждающие факт обработки
персональных данных Оператором;
11.3.4.изложение обстоятельств, на которые ссылается субъект персональных данных; 11.3.5.требование (запрос) к Оператору в рамках действующего законодательства; 11.3.6.способ получения ответа на обращение, с указанием реквизитов для направления
ответа на обращение;
11.3.7.подпись субъекта персональных данных или его представителя. При подписании
запроса представителем субъекта персональных данных к запросу прикладывается

 документ, по которому представитель наделен полномочиями подписывать и
направлять запросы Оператору.
11.4. Если в запросе не полностью указана необходимая информация, Оператор вправе
запросить у субъекта персональных данных необходимую информацию для ответа
на запрос.
11.5. С