1. Термины и определения
Сайт – совокупность программ для электронных вычислительных машин и иной информации, содержащейся в
информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети «Интернет»
по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети «Интернет».
Настоящая Политика применяется к сайту
https://arenadata.tech/.
Пользователь – пользователь сети Интернет и, в частности, Сайта, использующий формы: «Оставьте заявку»,
«Получите бесплатную консультацию по организации корпоративной платформы данных», «Напишите нам ваш вопрос или
предложение», «Получите консультацию от Arenadata!», «Аудит ландшафта данных от Arenadata», «Обсудим партнёрские
условия?», «Получите консультацию по импортозамещению и цифровизации», «Получите консультацию», «Присоединяйтесь к
команде Arenadata!» и иные формы, размещенные на Сайте.
Федеральный закон (ФЗ) – Федеральный закон РФ «О персональных данных» от 27.07.2006 № 152-ФЗ (далее –
Закон о персональных данных).
Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или
определяемому физическому лицу (субъекту персональных данных).
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно
или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие
цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с
персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций),
совершаемых с персональными данными как с использованием средств автоматизации, так и без использования средств
автоматизации.
Обработка персональных данных включает в себя в т.ч. сбор, запись, систематизацию, накопление, хранение, уточнение
(обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, удаление,
уничтожение персональных данных.
2. Общие положения
2.1. Политика разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Закона о персональных данных.
Цели обработки персональных данных |
Категории субъектов |
Перечень персональных данных |
Категории персональных данных |
Обработка запроса (заявки) пользователя, в т.ч. в связи с заказом консультации, заказом услуг Оператора,
коммуникацией между Пользователем Оператором. |
Пользователи Сайта |
Фамилия, имя, отчество, номер телефона, адрес электронной почты, наименование компании-работодателя,
куки-файлы (cookies), геопозиция, IP-адрес. |
Общая |
Рассмотрение вопроса соответствия кандидатуры Пользователя имеющимся вакансиям Оператора. |
Пользователи Сайта, направляющие резюме через форму обратной связи «Присоединяйтесь к команде
Arenadata!» |
Фамилия, имя, отчество, гражданство, адрес места жительства, дату и место рождения, сведения о семейном
положении, сведения об образовании, о занимаемой должности, данные о предыдущих местах работы и/или
воинской службе, номер телефона, адрес электронной почты. |
Общая |
2.2. Оператором является Общество с ограниченной ответственностью «Аренадата Софтвер», расположенное по адресу: 129085,
г. Москва, вн.тер.г. муниципальный округ Останкинский, ул. Годовикова, д. 9, стр. 17, этаж 8 помещ. 4, ИНН
7713468845.
2.3. Оператор не обрабатывает биометрические персональные данные Пользователей и персональные данные, относящиеся к
специальным категориям.
2.4. В случае несогласия с условиями Политики Пользователь должен прекратить использование Сайта.
2.5. При даче согласия Оператору на обработку персональных данных, Пользователь подтверждает, что является
совершеннолетним.
3. Предмет Политики
3.1. Согласие на обработку персональных данных даётся путем проставления соответствующей отметки («галочки») в чек-боксе
формы обращения на сайте.
3.2. Оператор осуществляет обработку персональных данных с использованием средств автоматизации, а также без
использования таких средств.
3.3. Политика распространяется в полном объеме на обработку персональных данных с использованием средств автоматизации,
а при обработке без использования средств автоматизации – только в случаях, если такая обработка соответствует характеру
действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет
осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и
содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким
персональным данным.
4. Принципы, сроки обработки и хранения персональных данных. Уничтожение персональных данных
4.1. Обработка персональных данных Пользователей Сайта осуществляется на законной и справедливой основе и должна
ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных
данных, несовместимая с целями сбора персональных данных. Обрабатываемые персональные данные не должны быть избыточными
по отношению к заявленным целям их обработки.
4.2. Срок обработки и хранения персональных данных – до достижения цели обработки.
4.3. Обрабатываемые данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты
необходимости в достижении этих целей в срок, не превышающий 30 календарных дней с момента достижения цели или утраты
необходимости в достижении цели.
4.4. Порядок уничтожения персональных данных при достижении цели обработки – удаление с серверов Оператора.
4.5. Уничтожение персональных данных осуществляет комиссия, состав которой, а также способы уничтожения персональных
данных устанавливаются в приказе генерального директора Оператора.
5. Права и обязанности сторон
5.1. Пользователь имеет право на получение сведений об Операторе и месте его нахождения.
5.2. Пользователь вправе требовать на основании письменного заявления в адрес Оператора блокирования или уничтожения
своих персональных данных.
5.3. Оператор обеспечивает конфиденциальность и безопасность персональных данных при их обработке в соответствии с
требованиями законодательства Российской Федерации.
6. Обеспечение защиты персональных данных в Компании
6.1. Компания при обработке персональных данных принимает необходимые правовые, организационные и технические меры для
защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования,
копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении
персональных данных.
6.2. Обеспечение безопасности персональных данных достигается, в частности:
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных
данных;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных,
исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности
персональных
данных;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию
информационной системы персональных данных;
- учетом машинных носителей персональных данных;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к
ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных,
а
также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной
системе
персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности
информационных систем персональных данных.
6.3. Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность
несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать
уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные
неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности
персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает
нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах
персональных данных. Уровень защищенности ПДн в Компании фиксируется в Акте определения уровня защищенности ПДн.
6.4. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью Системы защиты
персональных данных (СЗПДн), нейтрализующей актуальные угрозы безопасности, признанные актуальными в Модели угроз и
нарушителя безопасности персональных данных Компании. СЗПДн является неотъемлемой частью Комплексной системы
информационной безопасности Компании.
6.5. Правовые меры включают:
- разработку локальных актов Компании, реализующих требования законодательства и положений методических документов
в
отношении обеспечения безопасности персональных данных, в том числе Политики;
- отказ от любых способов обработки персональных данных, не соответствующих определенным в Положении целям.
6.6. Организационные меры включают:
- назначение лица, ответственного за организацию обработки персональных данных;
- ограничение состава работников Компании, имеющих доступ к персональным данным, и организацию разрешительной
системы
доступа к ним;
- ознакомление работников Компании, с положениями законодательства Российской Федерации о персональных данных, в
том
числе
с требованиями к защите персональных данных, с Политикой, другими локальными актами Компании по вопросам
обработки
персональных данных;
- обучение всех категорий работников, непосредственно осуществляющих обработку персональных данных, правилам
работы с
ними
и обеспечения безопасности обрабатываемых данных;
- определение в трудовом договоре или должностных инструкциях работников Компании обязанностей по обеспечению
безопасности
обработки персональных данных и ответственности за нарушение установленного порядка;
- регламентацию процессов обработки персональных данных;
- определение типа угроз безопасности персональных данных, актуальных для информационных систем персональных
данных с
учетом оценки возможного вреда субъектам персональных данных, который может быть причинен в случае нарушения
требований
безопасности, определение уровня защищенности персональных данных и требований к защите персональных данных при
их
обработке в информационных системах, исполнение которых обеспечивает установленные уровни защищенности
персональных
данных;
- определение угроз безопасности персональных данных при их обработке в информационных системах, формирование на
их
основе
Модели угроз и модели нарушителя безопасности информации;
- размещение технических средств обработки персональных данных в пределах контролируемой зоны Компании;
- организацию учета носителей персональных данных, в том числе машинных;
- организацию учета средств защиты персональных данных;
- организацию режима обеспечения безопасности помещений, в которых размещены информационные системы персональных
данных и
осуществляется хранение носителей персональных данных, ограничение допуска посторонних лиц в помещения Компании,
недопущение их нахождения в помещениях, где ведется работа с персональными данными и размещаются технические
средства их
обработки, без контроля со стороны работников Компании;
- взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак
на
информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, которые
повлекли
неправомерную передачу (предоставление, распространение, доступ) персональных данных, в порядке, определенном
федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать.
6.7. Технические меры включают в себя:
- разработку на основе частной модели угроз Системы защиты персональных данных для установленных Правительством
Российской
Федерации уровней защищенности персональных данных при их обработке в информационных системах;
- использование для нейтрализации актуальных угроз средств защиты информации, прошедших процедуру оценки
соответствия;
- реализацию разрешительной системы доступа работников к персональным данным, обрабатываемым в информационных
системах, и
программно-аппаратным и программным средствам защиты информации;
- регистрацию и учёт действий c персональными данными пользователей информационных систем, в которых
обрабатываются
персональные данные;
- выявление вредоносного программного обеспечения (применение антивирусных программ) на всех узлах информационной
сети
Компании, обеспечивающих соответствующую техническую возможность;
- безопасное межсетевое взаимодействие (применение межсетевого экранирования);
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к
ним
(систему резервного копирования и восстановления персональных данных);
- оценку эффективности принимаемых мер по обеспечению безопасности персональных данных – контроль защиты
информации
(самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей,
имеющих
лицензию на осуществление деятельности по технической защите конфиденциальной информации) в соответствии с
регламентирующими документами ФСТЭК России.
6.8. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных
данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
- идентификация и аутентификация субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные;
- регистрация событий безопасности;
- антивирусная защита;
- обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности персональных данных;
- обеспечение целостности информационной системы и персональных данных;
- обеспечение доступности персональных данных;
- защита среды виртуализации;
- защита технических средств;
- защита информационной системы, ее средств, систем связи и передачи данных;
выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению
функционирования
информационной системы и (или) к возникновению угроз безопасности персональных данных (далее – инциденты), и
реагирование на них;
- управление конфигурацией информационной системы и системы защиты персональных данных;
- применение средств криптографической защиты каналов передачи информации при передаче ПДн за пределы
контролируемой
зоны.
Конкретная техническая реализация указанных мер содержится в техническом проекте на Комплексную систему информационной
безопасности Компании, включающей в свой состав СЗПДн.
7. Заключительные положения
7.1. Настоящая Политика является общедоступной. Общедоступность настоящей Политики обеспечивается публикацией на Сайте
Оператора.
7.2. Условия настоящей Политики устанавливаются, изменяются и отменяются Оператором в одностороннем порядке без
предварительного уведомления Пользователя. С момента размещения на Сайте новой редакции Политики предыдущая редакция
считается утратившей свою силу.