Политика в отношении обработки персональных данных
Утверждена приказом генерального директора
ООО «Центральная касса» № 10 от «01» ноября 2025 г.
ООО «Центральная касса» № 10 от «01» ноября 2025 г.
1. О документе
1.1. Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006. № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые ООО «Центральная касса» (далее — Оператор ПДн).
1.2. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Настоящая Политика в отношении обработки персональных данных (далее — Политика) применяется ко всем персональным данным, которые обрабатывает Оператор ПДн.
1.1. Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006. № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые ООО «Центральная касса» (далее — Оператор ПДн).
1.2. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Настоящая Политика в отношении обработки персональных данных (далее — Политика) применяется ко всем персональным данным, которые обрабатывает Оператор ПДн.
2. Основные понятия и сокращения, используемые в Политике
2.1. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
2.2. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.3. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств.
2.4. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных.
2.5. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.6. Оператор ПДн — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.7. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.8. Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных (далее — персональные данные, разрешенные для распространения).
2.9. Пользователь — любой посетитель Сервисов Оператора ПДн.
2.10. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.11. Распространение персональных данных — любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
2.12. Сервисы Оператора ПДн — сервисы, размещенные на веб-сайтах https://ckassa.com, https://cabinet.ckassa.ru/site/login, https://payframe.ckassa.ru, https://scena24.ru, а также мобильное приложение Оператора (Приложение Андроид и IOS) и тг-боты представленные на https://ckassa.com.
2.13. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
2.14. Уничтожение персональных данных — любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.
2.16. Используемые сокращения:
• 152-ФЗ — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• ИСПДн — информационная система персональных данных;
• Оператор ПДн — Общество с ограниченной ответственностью «Центральная касса»;
• ПДн — персональные данные;
• Политика — Политика в отношении обработки персональных данных;
• РФ — Российская Федерация;
• Субъект ПДн — субъект персональных данных.
2.1. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
2.2. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.3. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств.
2.4. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных.
2.5. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.6. Оператор ПДн — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.7. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.8. Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных (далее — персональные данные, разрешенные для распространения).
2.9. Пользователь — любой посетитель Сервисов Оператора ПДн.
2.10. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.11. Распространение персональных данных — любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
2.12. Сервисы Оператора ПДн — сервисы, размещенные на веб-сайтах https://ckassa.com, https://cabinet.ckassa.ru/site/login, https://payframe.ckassa.ru, https://scena24.ru, а также мобильное приложение Оператора (Приложение Андроид и IOS) и тг-боты представленные на https://ckassa.com.
2.13. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
2.14. Уничтожение персональных данных — любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.
2.16. Используемые сокращения:
• 152-ФЗ — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• ИСПДн — информационная система персональных данных;
• Оператор ПДн — Общество с ограниченной ответственностью «Центральная касса»;
• ПДн — персональные данные;
• Политика — Политика в отношении обработки персональных данных;
• РФ — Российская Федерация;
• Субъект ПДн — субъект персональных данных.
3. Общие положения
3.1. Настоящая Политика в отношении обработки персональных данных определяет принципы, порядок и условия обработки персональных данных лиц, чьи персональные данные обрабатываются, в соответствии с установленными целями обработки персональных данных и требованиями к обработке и обеспечению безопасности персональных данных.
3.2. Политика разработана в соответствии со следующими документами:
Субъект ПДн имеет право на получение следующих сведений, за исключением случаев, предусмотренных частью 8 статьи 14 152-ФЗ:
• подтверждение факта обработки ПДн оператором;
• правовые основания и цели обработки ПДн;
• цели и применяемые оператором способы обработки ПДн;
• наименование и место нахождения оператора ПДн, сведения о лицах (за исключением работников оператора ПДн), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором ПДн или на основании федерального закона;
• обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен 152-ФЗ;
• сроки обработки ПДн, в том числе сроки их хранения;
• порядок осуществления субъектом ПДн прав, предусмотренных 152-ФЗ;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
• информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 152-ФЗ;
• иные сведения, предусмотренные настоящим 152-ФЗ или другими федеральными законами.
Субъект ПДн вправе требовать от оператора ПДн уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Если субъект ПДн считает, что оператор ПДн осуществляет обработку его ПДн с нарушением требований 152-ФЗ или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие оператора ПДн в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Субъект ПДн может отозвать свое согласие на обработку ПДн по установленной процедуре оператора ПДн.
3.5. Обязанности субъекта ПДн:
Оператор ПДн должен быть внесен в Реестр операторов, осуществляющих обработку персональных данных: https://pd.rkn.gov.ru/operators-registry/operators-list/.
Оператор ПДн должен обеспечить доступность Политики в отношении обработки персональных данных для ознакомления всем заинтересованным лицам.
При сборе ПДн оператор ПДн обязан предоставить субъекту ПДн по его просьбе информацию, предусмотренную пунктом 1.4 Политики.
В соответствии с 152-ФЗ получение оператором ПДн согласия на обработку ПДн являются обязательными, в случае если субъект ПДн отказывается дать согласие на обработку его ПДн, то оператор ПДн обязан разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн.
Если ПДн получены не от субъекта ПДн, оператор ПДн, за исключением случаев, предусмотренных частью 4 статьи 18 152-ФЗ, до начала обработки таких ПДн обязан предоставить субъекту ПДн следующую информацию:
3.1. Настоящая Политика в отношении обработки персональных данных определяет принципы, порядок и условия обработки персональных данных лиц, чьи персональные данные обрабатываются, в соответствии с установленными целями обработки персональных данных и требованиями к обработке и обеспечению безопасности персональных данных.
3.2. Политика разработана в соответствии со следующими документами:
- Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее 152-ФЗ).
- Обработка персональных данных должна осуществляться на законной и справедливой основе.
- Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
- Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
- Обработке подлежат только персональные данные, которые отвечают целям их обработки.
- Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
- При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
- Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Субъект ПДн имеет право на получение следующих сведений, за исключением случаев, предусмотренных частью 8 статьи 14 152-ФЗ:
• подтверждение факта обработки ПДн оператором;
• правовые основания и цели обработки ПДн;
• цели и применяемые оператором способы обработки ПДн;
• наименование и место нахождения оператора ПДн, сведения о лицах (за исключением работников оператора ПДн), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором ПДн или на основании федерального закона;
• обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен 152-ФЗ;
• сроки обработки ПДн, в том числе сроки их хранения;
• порядок осуществления субъектом ПДн прав, предусмотренных 152-ФЗ;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
• информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 152-ФЗ;
• иные сведения, предусмотренные настоящим 152-ФЗ или другими федеральными законами.
Субъект ПДн вправе требовать от оператора ПДн уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Если субъект ПДн считает, что оператор ПДн осуществляет обработку его ПДн с нарушением требований 152-ФЗ или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие оператора ПДн в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Субъект ПДн может отозвать свое согласие на обработку ПДн по установленной процедуре оператора ПДн.
3.5. Обязанности субъекта ПДн:
- Предоставлять оператору ПДн актуальные и достоверные персональные данные, необходимых для достижения целей обработки ПДн;
- В случае изменения ПДн, необходимых для достижения целей обработки ПДн, сообщить оператору уточненные ПДн и подтвердить изменения оригиналами документов;
- Предоставлять ПДн других субъектов ПДн только с согласия последних;
- Выполнять требования законодательства Российской Федерации.
- Оператор ПДн имеет право требовать предоставления актуальных и достоверных ПДн от субъекта ПДн;
- Оператор ПДн может заключить Поручение на обработку ПДн с третьими лицами при наличии соответствующих правовых оснований и соблюдении требований 152-ФЗ;
- Предоставлять персональные данные субъектов ПДн третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
- Отказывать в предоставлении ПДн в случаях, предусмотренных законодательством;
- Использовать ПДн субъекта ПДн без его согласия, в случаях, предусмотренных законодательством;
- Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законодательством РФ;
- Отстаивать свои интересы в суде.
Оператор ПДн должен быть внесен в Реестр операторов, осуществляющих обработку персональных данных: https://pd.rkn.gov.ru/operators-registry/operators-list/.
Оператор ПДн должен обеспечить доступность Политики в отношении обработки персональных данных для ознакомления всем заинтересованным лицам.
При сборе ПДн оператор ПДн обязан предоставить субъекту ПДн по его просьбе информацию, предусмотренную пунктом 1.4 Политики.
В соответствии с 152-ФЗ получение оператором ПДн согласия на обработку ПДн являются обязательными, в случае если субъект ПДн отказывается дать согласие на обработку его ПДн, то оператор ПДн обязан разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн.
Если ПДн получены не от субъекта ПДн, оператор ПДн, за исключением случаев, предусмотренных частью 4 статьи 18 152-ФЗ, до начала обработки таких ПДн обязан предоставить субъекту ПДн следующую информацию:
- наименование либо фамилия, имя, отчество и адрес оператора ПДн или его представителя;
- цель обработки ПДн и ее правовое основание;
- перечень ПДн;
- предполагаемые пользователи ПДн;
- установленные 152-ФЗ права субъекта ПДн;
- источник получения ПДн.
4. Цели сбора персональных данных
4.1. Оператор ПДн осуществляет обработку ПДн в следующих целях:
4.1. Оператор ПДн осуществляет обработку ПДн в следующих целях:
- Ведение кадрового и бухгалтерского учета;
- Подбор персонала (соискателей) на вакантные должности оператора;
- Обеспечение пропускного режима на территорию оператора;
- Обеспечение соблюдения законодательства РФ о противодействии легализации финансирования терроризма;
- Продвижение товаров, работ, услуг на рынке;
- Обеспечение прохождения ознакомительной, производственной или преддипломной практики на основании договора с учебным заведением;
- Обеспечение доступа к социальному и медицинскому обслуживанию, предоставление льгот и иных корпоративных привилегий;
- Осуществление вспомогательной деятельности в сфере вспомогательных услуг;
- Обеспечение корректной работы сайта и улучшения пользовательского опыта.
5. Правовые основания обработки персональных данных
5.1. Правовым основанием обработки ПДн является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор ПДн осуществляет обработку ПДн. Персональные данные оператором ПДн обрабатываются на основании:
5.1. Правовым основанием обработки ПДн является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор ПДн осуществляет обработку ПДн. Персональные данные оператором ПДн обрабатываются на основании:
- Трудового кодекса РФ;
- Налогового кодекса РФ;
- Гражданского кодекса РФ;
- Законодательство в области противодействии легализации финансирования терроризма;
- Договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- Согласие на обработку персональных данных.
6. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
6.1. Для достижения целей обработки ПДн оператором ПДн обрабатываются следующие ПДн:
6.1. Для достижения целей обработки ПДн оператором ПДн обрабатываются следующие ПДн:
6.2. Оператор ПДн не осуществляет:
- обработку биометрических персональных данных.
7. Порядок и условия обработки персональных данных
7.1. Перечень действий с ПДн:
7.4. Срок хранения ПДн сотрудников и родственников сотрудников определен в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ и Законом об архивном деле. Данные о сотрудниках 50 лет после их увольнения. Персональные данные родственников сотрудников хранятся до достижения целей обработки.
7.5. При осуществлении хранения персональных данных оператор ПДн использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных».
7.6. Оператор ПДн не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации, в том числе 152-ФЗ.
7.7. Оператор ПДн не осуществляет трансграничную передачу ПДн.
7.8. Оператор ПДн не распространяет ПДн.
7.9. Оператор ПДн обеспечивает конфиденциальность ПДн и принимает меры по обеспечению безопасности ПДн, включая, но не ограничиваясь:
7.1. Перечень действий с ПДн:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение.
- смешанная;
- с передачей по внутренней сети юридического лица;
- с передачей по сети Интернет.
7.4. Срок хранения ПДн сотрудников и родственников сотрудников определен в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ и Законом об архивном деле. Данные о сотрудниках 50 лет после их увольнения. Персональные данные родственников сотрудников хранятся до достижения целей обработки.
7.5. При осуществлении хранения персональных данных оператор ПДн использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных».
7.6. Оператор ПДн не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации, в том числе 152-ФЗ.
7.7. Оператор ПДн не осуществляет трансграничную передачу ПДн.
7.8. Оператор ПДн не распространяет ПДн.
7.9. Оператор ПДн обеспечивает конфиденциальность ПДн и принимает меры по обеспечению безопасности ПДн, включая, но не ограничиваясь:
- назначить лицо, ответственное за организацию обработки ПДн;
- издать документы, определяющих политику оператора ПДн в отношении обработки ПДн, локальные акты по вопросам обработки ПДн, локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
- обеспечить применение правовых, организационных и технических мер по обеспечению безопасности ПДн в соответствии со статьей 19 152-ФЗ;
- осуществлять внутренний контроль соответствия обработки ПДн Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике оператора ПДн в отношении обработки персональных данных, локальным актам оператора;
- обеспечить проведение оценки вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ;
- работники, непосредственно осуществляющих обработку ПДн, ознакомлены с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику оператора ПДн в отношении обработки персональных данных, локальными актами по вопросам обработки ПДн, проведено обучение указанных работников;
- утвержден документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе персональных данных, необходим для выполнения ими служебных (трудовых) обязанностей;
- определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
- применяются модели актуальных угроз и выполняются меры по их нейтрализации;
- обеспечен учет и сохранность машинных носителей персональных данных;
- осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
- ограничен доступ посторонних лиц в помещения, предназначенные для обработки персональных данных, организован режим обеспечения безопасности помещений, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- используются средства защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
8. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
8.1. Оператор ПДн обязан сообщить в порядке, предусмотренном статьей 14 152-ФЗ, субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта ПДн или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором ПДн в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
8.2. В случае отказа в предоставлении информации о наличии ПДн о соответствующем субъекте ПДн или ПДн субъекту ПДн или его представителю при их обращении либо при получении запроса субъекта ПДн или его представителя оператор ПДн обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения субъекта ПДн или его представителя либо с даты получения запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
8.3. Оператор ПДн обязан предоставить безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту ПДн. В срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, оператор ПДн обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор ПДн обязан уничтожить такие ПДн. Оператор ПДн обязан уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.
8.4. Оператор ПДн обязан сообщить в уполномоченный орган по защите прав субъектов ПДн по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
8.5. В случае подтверждения факта неточности ПДн или неправомерности их обработки, ПДн подлежат их актуализации оператором ПДн, а обработка должна быть прекращена, соответственно.
8.6. При достижении целей обработки ПДн, а также в случае отзыва субъектом ПДн согласия на их обработку ПДн подлежат уничтожению, если:
Способы уничтожения персональных данных определяются внутренними документами оператора ПДн по вопросам обработки и защиты ПДн в зависимости от способов обработки ПДн и материальных носителей ПДн, на которых осуществляется запись и хранение ПДн.
В случае отсутствия у оператора ПДн правовых оснований на обработку ПДн (условий обработки ПДн) оператор ПДн в порядке, установленном 152-ФЗ, производит уничтожение ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется лицом, действующим по поручению оператора ПДн). Уничтожение производится посредством осуществления действий, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и/или в результате которых уничтожаются материальные носители ПДн. По результатам проведенного уничтожения составляется акт об уничтожении ПДн и формируется запись в электронном журнале регистрации событий в ИСПДн, в соответствии с требованиями Приказа Федеральной службы в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных», установленными Надзорным органом, к документированию уничтожения ПДн, или, в случае утраты силы, признания недействующим указанных требований полностью или в части, в соответствии с положениями Законодательства РФ.
8.7. Оператор ПДн обязан сообщить субъекту ПДн или его представителю информацию об осуществляемой им обработке ПДн такого субъекта по запросу последнего.
8.8. Пользователь Сервисов Оператора ПДн всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты support@ckassa. ru с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях», либо, при наличии технической возможности, самостоятельно отписаться.
8.9. Субъект ПДн может направить запрос с интересующим его запросом по персональным данным (в том числе отзыв согласия на обработку персональных данных) на электронную почту: rkn@ckassa. ru, или письмом на адрес: 614066, Пермский край, г. Пермь, ул. Стахановская, д. 54, стр. Р, офис 400/6.
8.10. Правила рассмотрения запросов субъектов ПДн с рекомендованными формами запросов описаны в Правилах рассмотрения запросов субъектов персональных данных или их представителей (предоставляется по запросу).
8.1. Оператор ПДн обязан сообщить в порядке, предусмотренном статьей 14 152-ФЗ, субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта ПДн или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором ПДн в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
8.2. В случае отказа в предоставлении информации о наличии ПДн о соответствующем субъекте ПДн или ПДн субъекту ПДн или его представителю при их обращении либо при получении запроса субъекта ПДн или его представителя оператор ПДн обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения субъекта ПДн или его представителя либо с даты получения запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
8.3. Оператор ПДн обязан предоставить безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту ПДн. В срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, оператор ПДн обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор ПДн обязан уничтожить такие ПДн. Оператор ПДн обязан уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.
8.4. Оператор ПДн обязан сообщить в уполномоченный орган по защите прав субъектов ПДн по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
8.5. В случае подтверждения факта неточности ПДн или неправомерности их обработки, ПДн подлежат их актуализации оператором ПДн, а обработка должна быть прекращена, соответственно.
8.6. При достижении целей обработки ПДн, а также в случае отзыва субъектом ПДн согласия на их обработку ПДн подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
- оператор ПДн не вправе осуществлять обработку без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
- иное не предусмотрено иным соглашением между оператором ПДн и субъектом ПДн.
Способы уничтожения персональных данных определяются внутренними документами оператора ПДн по вопросам обработки и защиты ПДн в зависимости от способов обработки ПДн и материальных носителей ПДн, на которых осуществляется запись и хранение ПДн.
В случае отсутствия у оператора ПДн правовых оснований на обработку ПДн (условий обработки ПДн) оператор ПДн в порядке, установленном 152-ФЗ, производит уничтожение ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется лицом, действующим по поручению оператора ПДн). Уничтожение производится посредством осуществления действий, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и/или в результате которых уничтожаются материальные носители ПДн. По результатам проведенного уничтожения составляется акт об уничтожении ПДн и формируется запись в электронном журнале регистрации событий в ИСПДн, в соответствии с требованиями Приказа Федеральной службы в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных», установленными Надзорным органом, к документированию уничтожения ПДн, или, в случае утраты силы, признания недействующим указанных требований полностью или в части, в соответствии с положениями Законодательства РФ.
8.7. Оператор ПДн обязан сообщить субъекту ПДн или его представителю информацию об осуществляемой им обработке ПДн такого субъекта по запросу последнего.
8.8. Пользователь Сервисов Оператора ПДн всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты support@ckassa. ru с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях», либо, при наличии технической возможности, самостоятельно отписаться.
8.9. Субъект ПДн может направить запрос с интересующим его запросом по персональным данным (в том числе отзыв согласия на обработку персональных данных) на электронную почту: rkn@ckassa. ru, или письмом на адрес: 614066, Пермский край, г. Пермь, ул. Стахановская, д. 54, стр. Р, офис 400/6.
8.10. Правила рассмотрения запросов субъектов ПДн с рекомендованными формами запросов описаны в Правилах рассмотрения запросов субъектов персональных данных или их представителей (предоставляется по запросу).
9. Предоставление информации Пользователей третьим лицам
9.1. Оператором ПДн не предоставляется информация Субъектов ПДн компаниям и частным лицам, не связанным с Оператором ПДн, за исключением перечисленных ниже случаев.
— Субъект ПДн дал на это свое согласие. Для предоставления Оператором ПДн информации Субъектов ПДн компаниям и частным лицам, не связанным с Оператором ПДн. Субъект ПДн в любое время может отозвать данное согласие.
— По требованию действующего законодательства. Оператором ПДн предоставляется информация Пользователей в том случае, если получение, использование и раскрытие такой информации необходимо с целью:
9.1. Оператором ПДн не предоставляется информация Субъектов ПДн компаниям и частным лицам, не связанным с Оператором ПДн, за исключением перечисленных ниже случаев.
— Субъект ПДн дал на это свое согласие. Для предоставления Оператором ПДн информации Субъектов ПДн компаниям и частным лицам, не связанным с Оператором ПДн. Субъект ПДн в любое время может отозвать данное согласие.
— По требованию действующего законодательства. Оператором ПДн предоставляется информация Пользователей в том случае, если получение, использование и раскрытие такой информации необходимо с целью:
- выполнения и соблюдения действующего законодательства, судебных решений или исполнение законных требований государственных органов;
- выявления, пресечения или иного воспрепятствования мошенничеству, а также устранения технических сбоев или проблем безопасности;
- защиты прав, собственности или безопасности Оператора ПДн, Пользователей Сервисов Оператора в рамках, допускаемых действующим законодательством.
10. Политика использования Cookies
10.1. Оператор ПДн обрабатывает данные, собранные в процессе использования Посетителями Сервисов Оператора ПДн. При нажатии кнопки «Принять» в окне-уведомлении об обработке Cookies, Пользователь Сервисов Оператора ПДн дает свое согласие на обработку его Cookies. Пользователь Сервисов Оператора ПДн также может отказаться от обработки Cookies в соответствии с пунктом 10.6. После согласия на использование Cookies, всплывающие окно об использовании Cookies не появляется до момента изменения или удаления Cookies, для которых Пользователь дал свое согласие на использование Оператору ПДн, или изменения политики использования Cookies.
10.2. Сookies — это небольшой фрагмент данных, который веб-сайт запрашивает у браузера, используемого на компьютере или мобильном устройстве Пользователя Сервисов Оператора ПДн. Cookies содержат информацию о действиях Пользователя Сервисов Оператора ПДн на веб-сайте, а также могут содержать сведения о его оборудовании, дату и время сессии. Сookies хранятся локально на компьютере или мобильном устройстве Пользователя Сервисов Оператора ПДн.
10.3. Cookies используются Оператором ПДн в целях улучшения и обеспечения нормальной работоспособности веб-сайта, а также в целях совершенствования продуктов и услуг Оператора ПДн и его партнеров — в частности, путем определения предпочтений Пользователя Сервисов Оператора ПДн для предоставлени целевой информации по таким продуктам и услугам Пользователю Сервисов Оператора ПДн.
Для реализации упрощенной оплаты, если Пользователь Сервисов Оператора ПДн до этого уже совершил первую оплату успешно, происходит сохранение в cookies браузера Пользователя слепка сессии с успешной оплатой в виде токена (рекарринг).
10.4. Оператор ПДн обрабатывает полученные данные, в том числе, с использованием метрических программ и систем аналитики, таких как Яндекс. Метрика, ServicePipe.
10.5. Оператор ПДн использует следующие виды Сookies:
Такие Cookies позволяют идентифицировать Пользователя Сервисов Оператора ПДн как уникального пользователя и при возвращении на веб-сайт помогают вспомнить информацию о Пользователе Сервисов Оператора ПДн и ранее совершенных Пользователем Сервисов Оператора ПДн действиях.
10.6. Как отказаться от обработки Cookies:
Cookies устанавливаются в браузер на устройстве Пользователя Сервисов Оператора ПДн — в большинстве случаев это происходит автоматически. Пользователь Сервисов Оператора ПДн может отказаться от сохранения и использования Cookies на своем устройстве или удалить уже сохраненные Cookies в настройках браузера Пользователя Сервисов Оператора ПДн.
В том случае, если Пользователь Сервисов Оператора ПДн отказывается от обработки Cookies, Сервисы Оператора ПДн будет использовать только обязательные Cookies.
В случае удаление данных рекарринга из cookies при следующей оплате снова появится всплывающее окно с уведомлением о сборе cookies.
10.7. На Сервисах Оператора ПДн используется Yandex SmartCaptcha. Yandex SmartCaptcha нужена для верификации запросов и блокировки роботов с помощью сбора и обработки технических данных об устройстве Пользователя Сервисов Оператора ПДн, его активности и цифровом отпечатке (token, browser features, referer, timezone и т. д.). Yandex SmartCaptcha обрабатывает данные Пользователя Сервисов Оператора ПДн согласно: https://yandex.ru/legal/smartcaptcha_notice/ru.
10.1. Оператор ПДн обрабатывает данные, собранные в процессе использования Посетителями Сервисов Оператора ПДн. При нажатии кнопки «Принять» в окне-уведомлении об обработке Cookies, Пользователь Сервисов Оператора ПДн дает свое согласие на обработку его Cookies. Пользователь Сервисов Оператора ПДн также может отказаться от обработки Cookies в соответствии с пунктом 10.6. После согласия на использование Cookies, всплывающие окно об использовании Cookies не появляется до момента изменения или удаления Cookies, для которых Пользователь дал свое согласие на использование Оператору ПДн, или изменения политики использования Cookies.
10.2. Сookies — это небольшой фрагмент данных, который веб-сайт запрашивает у браузера, используемого на компьютере или мобильном устройстве Пользователя Сервисов Оператора ПДн. Cookies содержат информацию о действиях Пользователя Сервисов Оператора ПДн на веб-сайте, а также могут содержать сведения о его оборудовании, дату и время сессии. Сookies хранятся локально на компьютере или мобильном устройстве Пользователя Сервисов Оператора ПДн.
10.3. Cookies используются Оператором ПДн в целях улучшения и обеспечения нормальной работоспособности веб-сайта, а также в целях совершенствования продуктов и услуг Оператора ПДн и его партнеров — в частности, путем определения предпочтений Пользователя Сервисов Оператора ПДн для предоставлени целевой информации по таким продуктам и услугам Пользователю Сервисов Оператора ПДн.
Для реализации упрощенной оплаты, если Пользователь Сервисов Оператора ПДн до этого уже совершил первую оплату успешно, происходит сохранение в cookies браузера Пользователя слепка сессии с успешной оплатой в виде токена (рекарринг).
10.4. Оператор ПДн обрабатывает полученные данные, в том числе, с использованием метрических программ и систем аналитики, таких как Яндекс. Метрика, ServicePipe.
10.5. Оператор ПДн использует следующие виды Сookies:
- Сессионные
- Постоянные
Такие Cookies позволяют идентифицировать Пользователя Сервисов Оператора ПДн как уникального пользователя и при возвращении на веб-сайт помогают вспомнить информацию о Пользователе Сервисов Оператора ПДн и ранее совершенных Пользователем Сервисов Оператора ПДн действиях.
- Аналитические/маркетинговые
- Обязательные
10.6. Как отказаться от обработки Cookies:
Cookies устанавливаются в браузер на устройстве Пользователя Сервисов Оператора ПДн — в большинстве случаев это происходит автоматически. Пользователь Сервисов Оператора ПДн может отказаться от сохранения и использования Cookies на своем устройстве или удалить уже сохраненные Cookies в настройках браузера Пользователя Сервисов Оператора ПДн.
В том случае, если Пользователь Сервисов Оператора ПДн отказывается от обработки Cookies, Сервисы Оператора ПДн будет использовать только обязательные Cookies.
В случае удаление данных рекарринга из cookies при следующей оплате снова появится всплывающее окно с уведомлением о сборе cookies.
10.7. На Сервисах Оператора ПДн используется Yandex SmartCaptcha. Yandex SmartCaptcha нужена для верификации запросов и блокировки роботов с помощью сбора и обработки технических данных об устройстве Пользователя Сервисов Оператора ПДн, его активности и цифровом отпечатке (token, browser features, referer, timezone и т. д.). Yandex SmartCaptcha обрабатывает данные Пользователя Сервисов Оператора ПДн согласно: https://yandex.ru/legal/smartcaptcha_notice/ru.
11. Заключительные положения
11.1. К Политике обеспечивается неограниченный доступ. Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу: https://ckassa.com/documentation/privacy.
11.2. Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года. Политика действует бессрочно до замены ее новой версией.
11.3. Контроль исполнения требований Политики осуществляется ответственным за организацию обработки персональных данных.
11.1. К Политике обеспечивается неограниченный доступ. Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу: https://ckassa.com/documentation/privacy.
11.2. Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года. Политика действует бессрочно до замены ее новой версией.
11.3. Контроль исполнения требований Политики осуществляется ответственным за организацию обработки персональных данных.