2. Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
3. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
- в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
- в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
7. ПОРЯДОК СБОРА, ХРАНЕНИЯ, ПЕРЕДАЧИ И ДРУГИХ ВИДОВ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, СРОКИ ИХ ОБРАБОТКИ И ХРАНЕНИЯ
1. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.
2. Оператор вправе осуществлять передачу персональных данных Клиента и (или) Пользователя, если такая передача соответствует целям обработки персональных данных, указанным в разделе 3 настоящей Политики. Оператор предупреждает получающих третьих лиц о том, что передаваемые данные могут быть использованы лишь в целях, для которых они сообщены.
3. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
4. Срок обработки и хранения персональных данных - до достижения цели обработки персональных данных, если иной срок не установлен федеральным законом или договором.
5. Персональные данные, содержащиеся на бумажных и электронных носителях, в том числе в электронных документах, хранятся Оператором в течение сроков хранения архивных документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Приказ Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»).
6. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
7. Обработка персональных данных осуществляется до момента наступления одного из следующих событий:
- выявлен факт неправомерной обработки персональных данных – обработка прекращается в течение трех рабочих дней с даты выявления такого факта;
- достигнута цель их обработки - обработка прекращается в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором или действующим законодательством РФ;
- истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия - обработка прекращается в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором или действующим законодательством РФ;
- при обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных) – обработка прекращается в срок не более десяти рабочих дней с даты получения требования (с возможностью продления не более чем на пять рабочих дней, если Оператором направлено уведомление о причинах продления).
8. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Оператор прекращает обработку этих данных, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
- иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
9. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.
10. Оператор до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных.
11. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме Клиента и Пользователя на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является Клиент и Пользователь.
8. ОБРАЩЕНИЯ К ОПЕРАТОРУ - Субъект персональных данных или его представитель вправе направлять Оператору свои обращения в письменном виде на почтовый адрес Оператора: 109028, г. Москва, ул. Серебряническая наб. 29, этаж 8, помещение II. Обращения, предусмотренные пунктами 3, 4 раздела 8 настоящей Политики, Субъект персональных данных вправе направить на электронную почту Оператора по адресу: finance@talkbank.io.
- Клиент и Пользователь вправе в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору письменное обращение с пометкой «Отзыв согласия на обработку персональных данных» на почтовый адрес Оператора: 109028, г. Москва, ул. Серебряническая наб. 29, этаж 8, помещение II.
- Клиент и Пользователь вправе в любой момент отказаться от получения информационных сообщений, направив Оператору письменное обращение с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях».
- В случае необходимости уточнения персональных данных (изменение или дополнение сведений о Субъекте персональных данных) Клиент и Пользователь могут актуализировать их путем направления Оператору обращения в письменном виде с пометкой «Актуализация персональных данных».
- Обращения Субъекта персональных данных или его представителя должны содержать:
- сведения о документе, удостоверяющем личность;
- сведения, подтверждающие участие Клиента или Пользователя в отношениях с Оператором (номер телефона, адрес электронной почты, указанный при использовании Сервиса);
- данные представителя и подтверждение его полномочий (при обращении представителя);
- подпись Клиента или Пользователя (представителя Клиента или Пользователя).
6. Оператор обязуется рассмотреть и направить ответ в течение десяти рабочих дней с даты получения запроса Субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес Субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
7. Оператор предоставляет ответ Субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
8. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
9. В случае обращения Субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор обязан в срок, не превышающий десяти рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес Субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
9. ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ДОСТИЖЕНИИ ЦЕЛЕЙ ИХ ОБРАБОТКИ ИЛИ ПРИ НАСТУПЛЕНИИ ИНЫХ ЗАКОННЫХ ОСНОВАНИЙ 1. Уничтожение персональных данных осуществляется путем уничтожения носителей, содержащих персональные данные субъектов персональных данных, и должно соответствовать следующим правилам:
- быть конфиденциальным, исключая возможность последующего восстановления;
- оформляться юридически, в частности, актом об уничтожении персональных данных;
- уничтожение должно касаться только тех носителей, содержащих персональные данные субъектов персональных данных, которые подлежат уничтожению, не допуская случайного или преднамеренного уничтожения актуальных носителей.
2. Уничтожение носителей, содержащих персональные данные, осуществляется в следующем порядке:
- уничтожение персональных данных, содержащихся на бумажных носителях, осуществляется путем измельчения на мелкие части, исключающие возможность последующего восстановления информации. Измельчение осуществляется с использованием шрёдера (уничтожителя документов), установленного в помещении Оператора (помещении лица, которому Оператор поручил обработку персональных данных в соответствии с ч. 3 ст. 6 Закона о персональных данных), либо документы передаются на переработку (утилизацию) организациям, собирающим вторсырье (пункты приема макулатуры);
- уничтожение персональных данных, содержащихся на машиночитаемых носителях, осуществляется путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления данных. Вышеуказанное достигается путем деформирования, нарушения единой целостности носителя;
- подлежащие уничтожению файлы с персональными данными субъектов персональных данных, расположенные на жестком диске, удаляются средствами операционной системы компьютера с последующим «очищением корзины»;
- в случае допустимости повторного использования носителя CD-RW, DVD-RW применяется программное удаление («затирание») содержимого диска путем его форматирования с последующей записью новой информации на данный носитель.
3. Факт уничтожения персональных данных подтверждается актом об уничтожении персональных данных, который подписывается ответственными лицами и утверждается руководителем Оператора. Данный документ является документом конфиденциального характера и подлежит хранению в течение трех лет с момента уничтожения персональных данных.
10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ - Клиент и (или) Пользователь, намеренный использовать Сервис, выражают свое согласие с условиями настоящей Политики в отношении обработки персональных данных. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Клиент и Пользователь совершают конклюдентные действия, свидетельствующие об ознакомлении Клиента и Пользователя с действующей редакцией Политики в отношении обработки персональных данных, и выражении Клиентом и Пользователем согласия с данной Политикой в отношении обработки персональных данных.
- Актуальная версия Политики в отношении обработки персональных данных в свободном доступе расположена в сети Интернет по адресу https://talkbank.io/personal_data.
- Оператор вправе вносить изменения в Политику в отношении обработки персональных данных. Новая редакция Политики в отношении обработки персональных данных вступает в силу с момента ее публикации в сети Интернет по адресу https://talkbank.io/personal_data.
- Неотъемлемой частью настоящей Политики является:
- Приложение № 1.