Reglamento sobre el almacenamiento y protección de los datos personales de los usuarios.

1. Términos y definiciones

Un sitio web es un conjunto de herramientas de software y hardware para computadoras que proporcionan la publicación para el público de información y datos combinados con un propósito general, a través de medios técnicos utilizados para la comunicación entre computadoras en Internet. El Sitio en el Reglamento se refiere al Sitio ubicado en Internet en: & nbsp;http://www.gavarygroup.com/

Usuario-usuario de Internet y, en particular, del Sitio web que tiene su propia página personal (perfil/cuenta).

Ley Federal (FZ) – ley Federal de 27.07.2006 no.152 FZ "sobre datos personales" (en adelante, la Ley sobre datos personales).

Datos personales – cualquier información relacionada directa o indirectamente con una persona física determinada o definida (sujeto de datos personales).

Los datos personales autorizados por el sujeto de los datos personales para su distribución son los datos personales a los que el sujeto de los datos personales ha concedido acceso a un número ilimitado de personas al dar su consentimiento para el procesamiento de los datos personales autorizados por el sujeto de los datos personales para su distribución de la manera prevista en la Ley de datos personales.

Operador: organización que organiza el procesamiento de datos personales de forma independiente o junto con otras personas, así como que determina los fines del procesamiento de los datos personales que se procesan, las acciones (operaciones) realizadas con datos personales.

El operador es la sociedad de responsabilidad limitada "Gavari Group", ubicada en la dirección: 142440, REGIÓN de MOSCÚ, NOGINSK CITY, OBUKHOVO WORKING VILLAGE, LENINA STREET, CASA 87, EDIFICIO 1, LOCAL 1 HABITACIÓN 1.

Tratamiento de datos personales: cualquier acción (operación) o conjunto de acciones (operaciones) realizadas con o sin medios automatizados con datos personales, incluida la recopilación, registro, sistematización, acumulación, almacenamiento, refinamiento (actualización, cambio), extracción, uso, transmisión (distribución, provisión, acceso), despersonalización, bloqueo, eliminación, destrucción de datos personales.

Procesamiento automatizado de datos personales-procesamiento de datos personales con la ayuda de equipos informáticos.

Provisión de datos personales: acciones destinadas a revelar datos personales a una persona específica o a un círculo específico de personas.

Bloqueo de datos personales: terminación temporal del procesamiento de datos personales (excepto en los casos en que el procesamiento sea necesario para aclarar los datos personales).

Destrucción de datos personales: acciones que hacen imposible restaurar el contenido de los datos personales en el sistema de información de datos personales y/o como resultado de las cuales se destruyen los medios materiales de datos personales.

Despersonalización de datos personales: acciones que resultan en no es posible, sin el uso de información adicional, determinar la pertenencia de los datos personales a un sujeto de datos personales específico.

Sistema de información de datos personales – conjunto de datos personales contenidos en bases de datos y tecnologías de la información y medios técnicos que los procesan.

2. Disposiciones generales

2.1. El Reglamento sobre el procedimiento de almacenamiento y protección de los datos personales de los Usuarios del Sitio (en adelante, el Reglamento) se ha desarrollado para cumplir con los requisitos de la legislación de la Federación rusa que contienen datos personales e identificación de los Usuarios que se encuentran en el Sitio.

2.2. La disposición se desarrolla de acuerdo con la Constitución de la Federación rusa, el código Civil de la Federación rusa, la legislación vigente de la Federación rusa en el campo de la protección de datos personales.

2.3. El Reglamento establece el procedimiento para el procesamiento de datos personales de los Usuarios del Sitio: acciones para recopilar, sistematizar, acumular, almacenar, aclarar (actualizar, cambiar), destruir datos personales.

2.4. La disposición establece los requisitos y reglas generales obligatorios para los empleados del Operador involucrados en el mantenimiento del Sitio para trabajar con todos los tipos de medios de información que contienen datos personales de los Usuarios del Sitio.

2.5. En la Disposición no se abordan las cuestiones de la seguridad de los datos personales, asignados de manera prescrita a la información que constituye un secreto de estado de la Federación de Rusia.

2.6. Los objetivos de la Disposición son:

·      garantizar los requisitos de protección de los derechos y libertades de la persona y el ciudadano en el procesamiento de datos personales, incluida la protección de los derechos a la privacidad, el secreto personal y familiar;

·      exclusión de las acciones no autorizadas de los empleados del Operador y cualquier tercero para recopilar, sistematizar, acumular, almacenar, aclarar (actualizar, cambiar) los datos personales, otras formas de interferencia ilegal en los recursos de información y la red informática local del Operador, garantizar el régimen legal y reglamentario de confidencialidad de la información no documentada de los Usuarios del Sitio; protección de los derechos constitucionales de los ciudadanos al secreto personal, la confidencialidad de la información que constituye datos personales y la prevención de posibles amenazas a la seguridad de los Usuarios del Sitio.

2.7. Principios del tratamiento de datos personales:

·      el tratamiento de los datos personales debe llevarse a cabo sobre una base legal y equitativa;

·      el procesamiento de datos personales se limitará al logro de fines específicos, predefinidos y legítimos. No se permite el procesamiento de datos personales que sea incompatible con los fines de la recopilación de datos personales;

·      no está permitido combinar bases de datos que contengan datos personales cuyo procesamiento se realice con fines incompatibles entre sí;

·      solo se procesarán los datos personales que cumplan con los fines de su procesamiento;

·      el contenido y el alcance de los datos personales tratados deben corresponder a los fines declarados del procesamiento. Los datos personales tratados no deben ser:

·      excedentes con respecto a los fines declarados de su procesamiento;

·      el contenido y el alcance de los datos personales procesados a un círculo indefinido de personas determina el sujeto de los datos personales en el acuerdo de distribución de datos personales;

·      al procesar datos personales, los datos personales deben ser precisos, suficientes y, en los casos necesarios, relevantes para los fines del procesamiento de datos personales;

·      el almacenamiento de datos personales no debe durar más de lo requerido por los fines del procesamiento de datos personales, a menos que el período de almacenamiento de datos personales esté establecido por la ley Federal, un acuerdo del cual el Usuario sea parte;

·      los datos personales procesados se destruirán o anonimizarán cuando se cumplan los fines del procesamiento, cuando el sujeto de los datos personales retire el consentimiento para la difusión de datos personales o en caso de pérdida de la necesidad de lograr estos fines, a menos que la ley Federal disponga lo contrario.

2.8. Condiciones de tratamiento de datos personales.

2.8.1. El procesamiento de los datos personales de los Usuarios del Sitio se lleva a cabo sobre la base del código civil de la Federación Rusa, la Constitución de la Federación rusa, la legislación vigente de la Federación rusa en el campo de la protección de datos personales.

2.8.2. El procesamiento de datos personales en el Sitio web se lleva a cabo de acuerdo con los principios y reglas previstos por el Reglamento y la legislación de la Federación rusa.

El procesamiento de datos personales está permitido en los siguientes casos:

·      el procesamiento de datos personales es necesario para el uso del Sitio, del cual el Usuario es parte;

·      el procesamiento de datos personales es necesario para proteger la vida, la salud u otros intereses vitales del Usuario del Sitio, si no es posible obtener el consentimiento;

·      el procesamiento de datos personales es necesario para el ejercicio de los derechos e intereses legítimos del Operador o de terceros, o para el logro de fines de interés público, siempre que no se violen los derechos y libertades de los Usuarios del Sitio;

·      el procesamiento de datos personales se lleva a cabo con fines estadísticos u otros fines de investigación, con la excepción del procesamiento de datos personales con el fin de promover bienes, obras y servicios en el mercado mediante contactos directos con consumidores potenciales a través de medios de comunicación, así como con fines de agitación política, sujeto a la anonimización obligatoria de los datos personales.

2.9. Finalidad del tratamiento de datos personales.

2.9.1. El tratamiento de los datos personales de los Usuarios del Sitio se lleva a cabo exclusivamente con el fin de proporcionar al Usuario la oportunidad de interactuar con el Sitio.

2.9.2. La información que constituye los datos personales en el Sitio es cualquier información relacionada con una persona física determinada o determinada sobre la base de dicha información (sujeto de datos personales).

2.10. Fuentes de datos personales de los Usuarios.

2.10.1. La fuente de información sobre todos los datos personales del Usuario es el propio Usuario.

2.10.2. La fuente de información sobre los datos personales del Usuario son los datos obtenidos como resultado de la concesión del Operador al Usuario de los derechos de uso del Sitio.

2.10.3. Los datos personales de los Usuarios se refieren a información confidencial de acceso restringido.

2.10.4. El operador no tiene derecho a recopilar y procesar datos personales del Usuario sobre su raza, nacionalidad, opiniones políticas, creencias religiosas o filosóficas, vida privada, excepto en los casos previstos por la legislación aplicable.

2.10.5. El operador no tiene derecho a recibir y procesar datos personales del Usuario sobre su membresía en asociaciones públicas o sus actividades sindicales, excepto en los casos previstos por la ley Federal.

2.11. Métodos de procesamiento de datos personales.

2.11.1. Los datos personales de los Usuarios del Sitio se procesan exclusivamente mediante el uso de herramientas de automatización.

2.12. Derechos de los sujetos (Usuarios) de los datos personales.

2.12.1. El usuario tiene derecho a recibir información sobre el Operador, sobre su ubicación, sobre la disponibilidad del Operador de datos personales relacionados con un sujeto específico de datos personales (Usuario), así como a familiarizarse con dichos datos personales, excepto en los casos previstos en el párrafo 8 del artículo 14 de la Ley de datos personales.

2.12.2. El usuario tiene derecho a recibir del Operador, en su contacto personal con él o cuando el Operador recibe una solicitud por escrito del Usuario, la siguiente información relativa al procesamiento de sus datos personales, incluida la que contiene:

·      confirmación del procesamiento de datos personales por parte del Operador, así como el propósito de dicho procesamiento;

·      bases legales y fines del procesamiento de datos personales;

·      fines y métodos utilizados por el Operador para procesar datos personales;

·      nombre y ubicación del Operador, información sobre las personas (excepto los empleados del operador) que tienen acceso a datos personales o a quienes se pueden divulgar datos personales en virtud de un contrato con el Operador o en virtud de una ley Federal;

·      los datos personales procesados relacionados con el sujeto de datos personales correspondiente, la fuente de su Recepción, a menos que la ley Federal establezca un procedimiento diferente para proporcionar dichos datos;

·      plazos para el procesamiento de datos personales, incluidos los plazos para su almacenamiento;

·      procedimiento para el ejercicio por el sujeto de los datos personales de los derechos previstos por la ley Federal;

·      información sobre la transferencia transfronteriza de datos realizada o prevista;

·      nombre o apellido, nombre, patronímico y dirección de la persona que realiza el procesamiento de datos personales en nombre del Operador, si el procesamiento se confía o se confiará a dicha persona;

·      otra información prevista por la ley Federal u otras leyes federales;

·      exigir el cambio, la aclaración, la destrucción de la información sobre uno mismo;

·      apelar las acciones u omisiones indebidas en el procesamiento de datos personales y solicitar una compensación adecuada ante los tribunales;

·      para complementar los datos personales de carácter evaluativo con una declaración que exprese su propio punto de vista;

·      identificar representantes para proteger sus datos personales;

·      exigir que el Operador sea notificado de todos los cambios o excepciones que se realicen en ellos.

2.12.3. El usuario tiene derecho a apelar ante la autoridad competente para la protección de los derechos de los sujetos de datos personales o por orden judicial las acciones u omisiones del Operador, si considera que este último procesa sus datos personales en violación de los requisitos de la ley Federal "sobre datos personales" o viola sus derechos y libertades de otra manera.

2.12.4. El usuario de los datos personales tiene derecho a la protección de sus derechos e intereses legítimos, incluida la indemnización por daños y / o daños morales en los tribunales.

2.13. Responsabilidades Del Operador.

2.13.1. Por el hecho de la solicitud personal o al recibir una solicitud por escrito del sujeto de datos personales o su representante, el Operador, si hay motivos, está obligado dentro de los 30 días posteriores a la fecha de la solicitud o Recepción de la solicitud del sujeto de datos personales o su representante a proporcionar información en la medida establecida por la ley Federal. Dicha información se debe proporcionar al sujeto de los datos personales en una forma accesible y no debe contener datos personales relacionados con otros sujetos de datos personales, a menos que exista una base legal para la divulgación de dichos datos personales.

2.13.2. Todas las comunicaciones de los sujetos de datos personales o sus representantes se registran en el Registro de las comunicaciones de los ciudadanos (sujetos de datos personales) sobre cuestiones relacionadas con el procesamiento de datos personales.

2.13.3. En el caso de la negativa a proporcionar al sujeto de datos personales o su representante al solicitar o recibir una solicitud del sujeto de datos personales o su representante información sobre la disponibilidad de datos personales sobre el sujeto de datos personales correspondiente, el Operador está obligado a dar por escrito una respuesta motivada que contenga una referencia a la disposición del párrafo 8 del artículo 14 de la Ley de datos personales u otra ley Federal que es la base de dicha negativa, en un plazo que no exceda de 30 días a partir de la fecha de la solicitud del sujeto de datos personales o su representante, o desde la fecha de Recepción de la solicitud del sujeto de los datos personales o su representante.

2.13.4. En caso de recibir una solicitud de la autoridad competente para la protección de los derechos de los sujetos de datos personales sobre el suministro de la información necesaria para la realización de las actividades de dicha autoridad, el Operador está obligado a comunicar dicha información a la autoridad competente dentro de los 30 días posteriores a la fecha de Recepción de dicha solicitud.

2.13.5. En el caso de que se detecte un procesamiento ilegal de datos personales durante el tratamiento o a petición del sujeto de los datos personales o su representante o la autoridad competente para la protección de los derechos de los sujetos de datos personales, el Operador está obligado a bloquear los datos personales tratados ilegalmente relacionados con este sujeto de datos personales desde el momento de dicho tratamiento o Recepción de dicha solicitud durante el período de verificación.

2.13.6. En caso de detección de un tratamiento indebido de datos personales realizado por el Operador, este último, en un plazo no superior a tres días hábiles a partir de la fecha de dicha detección, está obligado a detener el procesamiento indebido de datos personales. El Operador está obligado a notificar al sujeto de los datos personales o a su representante sobre la eliminación de las violaciones cometidas, y en caso de que la solicitud del sujeto de los datos personales o su representante o la solicitud de la autoridad competente para la protección de los derechos de los sujetos de datos personales haya sido enviada por la autoridad competente para la protección de los derechos de los sujetos de datos personales, también dicha autoridad.

2.13.7. El sujeto de los datos personales tiene derecho a solicitar que deje de transmitir (distribuir, proporcionar, acceder) sus datos personales previamente autorizados por el sujeto de los datos personales para su distribución a cualquier persona que procese sus datos personales en caso de incumplimiento de las disposiciones de este artículo o que presente dicha demanda ante un Tribunal. Esta persona está obligada a detener la transmisión (distribución, provisión, acceso) de datos personales dentro de los tres días hábiles posteriores a la Recepción de la solicitud del sujeto de los datos personales o dentro del plazo especificado en la decisión judicial que entró en vigor legalmente, y si tal plazo no se especifica en la decisión judicial, dentro de los tres días hábiles posteriores a la entrada en vigor de la decisión judicial.

2.13.8. La transmisión (distribución, provisión, acceso) de los datos personales autorizados por el sujeto de los datos personales para su distribución debe cesar en cualquier momento a petición del sujeto de los datos personales. Este requisito debe incluir el apellido, el nombre, el patronímico (si está disponible), la información de contacto (número de Teléfono, dirección de correo electrónico o dirección Postal) del sujeto de los datos personales, así como una lista de los datos personales cuyo procesamiento está sujeto a la terminación. Los datos personales especificados en este requisito solo pueden ser procesados por el operador al que se envía.

2.13.9. En caso de que se logre el objetivo del tratamiento de datos personales, el Operador está obligado a detener el procesamiento de datos personales y destruir los datos personales en un plazo no superior a 30 días hábiles a partir de la fecha en que se alcance el objetivo del tratamiento de datos personales, a menos que se disponga lo contrario en el consentimiento para el tratamiento de datos personales, del cual el sujeto de los datos personales es parte.

2.13.10. Está Prohibido tomar decisiones basadas exclusivamente en el procesamiento automatizado de datos personales que generen consecuencias legales para el sujeto de los datos personales o que afecten de otro modo sus derechos e intereses legítimos.

2.14. Régimen de privacidad de datos personales.

2.14.1. El operador garantiza la confidencialidad y seguridad de los datos personales durante su procesamiento de acuerdo con los requisitos de la legislación de la Federación rusa.

2.14.2. El operador no divulga a terceros ni difunde datos personales sin el consentimiento del sujeto de los datos personales, a menos que la ley Federal disponga lo contrario.

2.14.3. De acuerdo con la lista de datos personales procesados en el sitio,
los datos personales de los Usuarios del Sitio son información confidencial.

2.14.4. Las personas que procesan datos personales están obligadas a cumplir con los requisitos de los documentos reglamentarios del Operador en términos de garantizar la confidencialidad y la seguridad de los datos personales.

3. Tratamiento de datos personales

3.1. La lista de datos personales procesados de los Usuarios indica al sujeto de datos personales en el consentimiento para el procesamiento de datos personales autorizados por el sujeto de datos personales para su distribución.

3.2. Personas con derecho a acceder a los datos personales.

3.2.1. El derecho de acceso a los datos personales de los sujetos tiene personas con poderes apropiados de acuerdo con sus deberes oficiales.

3.2.2. La lista de personas que tienen acceso a los datos personales es aprobada por el director del Operador.

3.3. El procedimiento y los plazos de almacenamiento de datos personales en el Sitio.

3.3.1. El operador solo almacena los datos personales de los Usuarios en el Sitio.

3.3.2. Los términos de almacenamiento de los datos personales de los Usuarios en el Sitio están determinados por los términos del acuerdo de Usuario, se aplican desde el momento de la aceptación (aceptación) por parte del Usuario de este acuerdo en el Sitio y se aplican hasta que el Usuario declara su deseo de eliminar sus datos personales del Sitio.

3.3.3. En el caso de la eliminación de datos del Sitio por iniciativa de una de las partes, es decir, la terminación del uso del Sitio, los datos personales del Usuario se almacenan en las bases de datos del Operador durante cinco años de acuerdo con la legislación de la Federación rusa.

3.3.4. Después de la expiración del período de almacenamiento anterior de los datos personales del Usuario, los datos personales del Usuario se eliminan automáticamente mediante un algoritmo especificado por el Operador.

3.3.5. El operador no procesa los datos personales de los Usuarios en soportes de información en papel.

3.4. Bloqueo de datos personales.

3.4.1. Bajo el bloqueo de los datos personales se entiende la terminación temporal por parte del Operador de las operaciones para su procesamiento a petición del Usuario si detecta la falta de fiabilidad de los datos procesados o acciones ilegales, en opinión del sujeto de los datos personales, con respecto a sus datos.

3.4.2. El operador no transfiere datos personales a terceros y no encarga el procesamiento de datos personales a terceros y organizaciones. Los datos personales de los Usuarios del Sitio son procesados solo por empleados del Operador (administradores de bases de datos, etc.) autorizados por el procedimiento establecido para el procesamiento de datos personales de los Usuarios.

3.4.3. El bloqueo de los datos personales en el Sitio se realiza sobre la base de una declaración escrita del sujeto de los datos personales.

3.5. Destrucción de datos personales.

3.5.1. La destrucción de datos personales se refiere a las acciones como resultado de las cuales se hace imposible restaurar el contenido de los datos personales en el Sitio y/o como resultado de lo cual se destruyen los medios materiales de datos personales.

3.5.2. El sujeto de los datos personales tiene derecho a solicitar por escrito la destrucción de sus datos personales en caso de que los datos personales sean incompletos, obsoletos, inexactos, obtenidos ilegalmente o no sean necesarios para el propósito declarado del procesamiento.

3.5.3. En caso de que no sea posible destruir los datos personales, el Operador bloqueará dichos datos personales.

3.5.4. La destrucción de los datos personales se realiza mediante el borrado de la información utilizando un software certificado con destrucción garantizada (de acuerdo con las características especificadas para el software instalado con destrucción garantizada).

4. Sistema de protección de datos personales

4.1. Medidas para garantizar la seguridad de los datos personales durante su procesamiento.

4.1.1. El responsable del tratamiento de los datos personales está obligado a tomar las medidas legales, organizativas y técnicas necesarias o garantizar su adopción para proteger los datos personales contra el acceso ilegal o accidental a ellos, la destrucción, modificación, bloqueo, copia, suministro, difusión de datos personales, así como contra otras acciones ilegales con respecto a los datos personales.

4.1.2. Garantizar la seguridad de los datos personales se logra, en particular:

·      identificar las amenazas a la seguridad de los datos personales cuando se procesan en los sistemas de información de datos personales;

·      la aplicación de medidas organizativas y técnicas para garantizar la seguridad de los datos personales durante su procesamiento en los sistemas de información de datos personales necesarios para cumplir con los requisitos de protección de datos personales;

·      la aplicación de los procedimientos de evaluación de la conformidad de los medios de protección de la información;

·      evaluación de la eficacia de las medidas adoptadas para garantizar la seguridad de los datos personales antes de la puesta en marcha del sistema de información de datos personales;

·      teniendo en cuenta los medios de almacenamiento de datos personales de la máquina;

·      detección de acceso no autorizado a datos personales y adopción de medidas;

·      recuperación de datos personales modificados o destruidos debido al acceso no autorizado a ellos;

·      el establecimiento de las reglas de acceso a los datos personales procesados en el sistema de información de datos personales, así como la garantía del registro y registro de todas las acciones realizadas con datos personales en el sistema de información de datos personales;

·      control de las medidas adoptadas para garantizar la seguridad de los datos personales y el nivel de protección de los sistemas de información de datos personales.

4.1.3. Para los fines de la Disposición, se entiende por amenazas a la seguridad de los datos personales un conjunto de condiciones y factores que crean el riesgo de acceso no autorizado, incluido el acceso accidental a los datos personales, que pueden resultar en la destrucción, modificación, bloqueo, copia, provisión, difusión de datos personales, así como otras acciones ilegales durante su procesamiento en el sistema de información de datos personales. Bajo el nivel de protección de datos personales se entiende un indicador complejo que caracteriza los requisitos, cuya implementación garantiza la neutralización de ciertas amenazas a la seguridad de los datos personales durante su procesamiento en el sistema de información de datos personales.

4.2. Información protegida sobre el sujeto de los datos personales.

La información protegida sobre el sujeto de los datos personales en el Sitio incluye datos que permiten identificar al sujeto de los datos personales y / o obtener información adicional sobre él prevista por la ley y el Reglamento.

4.3. Objetos protegidos de datos personales.

4.3.1. Los objetos protegidos de los datos personales en el Sitio incluyen:

·      objetos de informatización y medios técnicos de procesamiento automatizado de información que contiene datos personales;

·      recursos de información (bases de datos, archivos, etc.) que contienen información sobre los sistemas de información y telecomunicaciones en los que circulan los datos personales, los eventos que ocurrieron con las instalaciones administradas, los planes de continuidad de las operaciones y los procedimientos de transición a la gestión en situaciones de emergencia;

·      canales de comunicación que se utilizan para transmitir datos personales en forma de señales eléctricas informativas y campos físicos;

·      soportes de información enajenados sobre bases magnéticas, magneto-ópticas y de otro tipo utilizados para el procesamiento de datos personales.

4.3.2. La información tecnológica sobre los sistemas de información y los elementos del sistema de protección de datos personales a proteger incluye:

·      información sobre el sistema de control de acceso a los objetos de informatización en los que se procesan los datos personales;

·      información de control (archivos de configuración, tablas de enrutamiento, configuración del sistema de seguridad, etc.);

·      información tecnológica de los medios de acceso a los sistemas de control (información de autenticación, claves y atributos de acceso, etc.);

·      características de los canales de comunicación que se utilizan para transmitir datos personales en forma de señales eléctricas informativas y campos físicos;

·      información sobre los medios de protección de datos personales, su composición y estructura, principios y soluciones técnicas de protección;

·      datos de Servicio (metadatos) que aparecen durante el funcionamiento del software, mensajes y protocolos de interconexión como resultado del procesamiento de datos personales.

4.4. Requisitos del sistema de protección de datos personales.

El sistema de protección de datos personales debe cumplir con los requisitos del decreto del Gobierno de 01.11.2012 no.1119 "sobre la aprobación de los requisitos para la protección de datos personales cuando se procesan en los sistemas de información de datos personales".

4.4.1. El sistema de protección de datos personales debe garantizar:

·      detección oportuna y prevención del acceso no autorizado a los datos personales y / o su transmisión a personas que no tienen derecho a acceder a dicha información;

·      evitar la influencia en los medios técnicos del procesamiento automatizado de datos personales, como resultado de lo cual puede interrumpir su funcionamiento;

·      posibilidad de recuperar inmediatamente los datos personales modificados o destruidos debido al acceso no autorizado a ellos;

·      el control constante de la garantía del nivel de la seguridad de los datos personales.

4.4.2. Los medios de protección de la información utilizados en los sistemas de información deben someterse a un procedimiento de evaluación de la conformidad.

4.5. Métodos y métodos de protección de la información en los sistemas de información de datos personales.

4.5.1. Los métodos y métodos de protección de la información en los sistemas de información de datos personales del Operador deben cumplir con los requisitos:

·      orden del fstec de 18.02.2013 no. 21 "sobre la aprobación de la Composición y el contenido de las medidas organizativas y técnicas para garantizar la seguridad de los datos personales durante su procesamiento en los sistemas de información de datos personales";

·      orden del FSB de 10.07.2014 № 378 "sobre la aprobación de la Composición y el contenido de las medidas organizativas y técnicas para garantizar la seguridad de los datos personales durante su procesamiento en los sistemas de información de datos personales utilizando medios de protección criptográfica de la información necesarios para cumplir con los requisitos establecidos por el Gobierno de la Federación de Rusia para la protección de datos personales para cada uno de los niveles de seguridad" (en caso de que el Operador determine la necesidad de utilizar medios de protección criptográfica de la información para garantizar la seguridad de los datos personales).

4.5.2. Los principales métodos y métodos para proteger la información en los sistemas de información de datos personales de los Usuarios son los métodos y métodos para proteger la información contra el acceso no autorizado, incluido el accidental, a los datos personales, cuyo resultado puede ser la destrucción, modificación, bloqueo, copia, difusión de datos personales, así como otras acciones no autorizadas (en adelante, métodos y métodos para proteger la información de NSD).

4.5.3. La selección e implementación de los métodos y métodos de protección de la información en el Sitio se lleva a cabo de acuerdo con las recomendaciones de los reguladores en el campo de la protección de la información: fstec de Rusia y FSB de Rusia, teniendo en cuenta las amenazas a la seguridad de los datos personales determinadas por el Operador (modelos de amenazas) y dependiendo de la clase del sistema de información.

4.5.4. Los métodos y métodos seleccionados e implementados para proteger la información en el Sitio deben garantizar la neutralización de las amenazas percibidas a la seguridad de los datos personales durante su procesamiento.

4.6. Medidas de protección de la información que constituye datos personales.

4.6.1. Las medidas para proteger las bases de datos que contienen datos personales tomadas por el Operador deben incluir:

·      definición de la lista de información que constituye los datos personales;

·      restringir el acceso a la información que contiene datos personales mediante el establecimiento de procedimientos para el tratamiento de dicha información y el control de su cumplimiento.

4.6.2. Las medidas para proteger la confidencialidad de la información se consideran razonablemente suficientes si:

·      se excluye el acceso a los datos personales de cualquier tercero sin el consentimiento del Operador;

·      permite el uso de la información que contiene datos personales sin violar la ley de datos personales;

·      al trabajar con el Usuario, se establece un procedimiento para las acciones del Operador, en el que se garantiza la seguridad de la información que contiene los datos personales del Usuario.

4.6.3. Los datos personales no pueden ser utilizados con fines contrarios a los requisitos de la ley Federal, la protección de los fundamentos del orden constitucional, la moral, la salud, los derechos y los intereses legítimos de otras personas, la defensa del país y la seguridad del estado.

4.7. Responsabilidad.

4.7.1. Todos los empleados del Operador que procesan datos personales están obligados a mantener el secreto sobre la información que contiene datos personales de acuerdo con la Disposición, los requisitos de la legislación de la Federación rusa.

4.7.2. Las personas culpables de violar los requisitos de la Disposición son responsables de la legislación de la Federación rusa.

4.7.3. Los responsables del tratamiento de los datos personales son responsables del cumplimiento del tratamiento de los datos personales en relación con los datos personales que se encuentran en las bases de datos del Sitio.

5. Disposiciones finales

5.1. En el caso de cambios en la legislación vigente de la Federación rusa, cambios en los documentos normativos sobre la protección de datos personales, esta Disposición se aplica en la parte que no contradiga la legislación vigente antes de ponerla en conformidad con tales.