Политика обработки персональных данных пользователей сайта

1. Термины и определения

1.1. В настоящей Политике обработки персональных данных пользователей сайта fagps.ru (далее — Политика учреждения) используются следующие термины и определения:

1.1.1. Сайт федерального государственного бюджетного учреждения «Федеральное агентство по государственной поддержке деятельности агропромышленного комплекса» (далее — Сайт учреждения, информационная система) — совокупность связанных между собой веб-страниц, размещенных в сети Интернет по уникальному адресу (URL) fagps.ru, а также на его субдоменах.

1.1.2. Субдомены — страницы (совокупность страниц), расположенные на доменах третьего уровня, принадлежащие Сайту учреждения, а также другие временные страницы, внизу которых указана контактная информация администрации Сайта учреждения.

1.1.3. Администрация Сайта учреждения (далее — Администрация) — уполномоченные ФГБУ «Федеральное агентство господдержки АПК» (далее — Учреждение) лица на управление Сайтом учреждения, которые организуют и (или) осуществляют обработку персональных данных, а также определяют цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными Пользователей Сайта учреждения.

1.1.4. Пользователь Сайта учреждения (далее — Пользователь) — лицо, имеющее доступ к Сайту учреждения посредством сети Интернет и использующее информацию, материалы и продукты Сайта учреждения.

1.1.5. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

1.1.6. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.1.7. Конфиденциальность персональных данных — обязательное для соблюдения Администрацией или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия Пользователя или наличия иного законного основания.

1.1.8. Cookies — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере Пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.

1.1.9. IP-адрес — уникальный сетевой адрес узла в компьютерной сети, через который Пользователь получает доступ к Сайту учреждения.

1.1.10. Актуальные угрозы безопасности персональных данных Пользователя — совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным Пользователя при их обработке, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

2. Общие положения

2.1. Политика учреждения составлена в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон «О персональных данных») и действует в отношении всей информации, которую Учреждение может получить о Пользователе во время использования им Сайта учреждения, а также использования его программ и продуктов.

2.2. Использование Сайта учреждения Пользователем означает согласие с Политикой учреждения и условиями обработки персональных данных Пользователя.

2.3. Направляя электронное обращение через Сайт учреждения, Пользователь соглашается с условиями Политики учреждения.

2.4. Сайт учреждения не контролирует сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на Сайте учреждения, и не несет за них ответственности.

2.5. Администрация не проверяет достоверность персональных данных, предоставляемых Пользователем.

2.6. Правовым основанием обработки персональных данных является совокупность правовых актов (в том числе согласие на обработку персональных данных), во исполнение которых и в соответствии с которыми Администрация осуществляет обработку персональных данных.

3. Предмет Политики учреждения

3.1. Политика учреждения устанавливает обязательства Администрации по неразглашению и обеспечению режима защиты конфиденциальности персональных данных, которые Пользователь предоставляет по запросу Администрации при отправке электронного обращения на Сайте учреждения или при подписке на информационную e-mail рассылку.

3.2. Персональные данные, разрешенные к обработке в рамках Политики учреждения, предоставляются Пользователем путем заполнения форм на Сайте учреждения и включают в себя следующую информацию:

а) фамилия, имя Пользователя;

б) отчество Пользователя (предоставляется Пользователем по желанию);

в) наименование организации (юридического лица) Пользователя (предоставляется Пользователем по желанию);

г) контактный телефон Пользователя (предоставляется Пользователем по желанию);

д) адрес электронной почты (e-mail).

3.3. Сайт учреждения защищает данные, которые автоматически передаются при посещении страниц:

– IP-адрес;

– информация из cookies;

– информация о браузере;

– время доступа;

– реферер (адрес предыдущей страницы).

3.3.1. Отключение cookies может повлечь невозможность доступа к страницам Сайта учреждения.

3.3.2. Сайт учреждения осуществляет сбор статистики об IP-адресах своих посетителей. Данная информация используется с целью предотвращения, выявления и решения технических проблем.

3.4. Любая иная персональная информация, не оговоренная выше (история посещения, используемые браузеры, операционные системы и т. д.), подлежит надежному хранению и нераспространению, за исключением случаев, предусмотренных в пункте 5.2 Политики учреждения.

4. Цели сбора персональной информации Пользователя

4.1. Персональные данные Пользователя могут использоваться Администрацией в следующих целях:

а) идентификация Пользователя, оставившего обращение на Сайте учреждения;

б) установление с Пользователем обратной связи, включая направление ответов, касающихся использования Сайта учреждения, обработки обращений Пользователя;

в) уточнение направленных Пользователем обращений;

г) подтверждение достоверности и полноты персональных данных, предоставленных Пользователем;

д) уведомление Пользователя;

е) предоставление Пользователю эффективной и оперативной технической поддержки при возникновении проблем, связанных с использованием Сайта учреждения;

ж) предоставление Пользователю с его согласия специальных предложений, новостной рассылки и иных сведений от имени Сайта учреждения;

з) выполнение государственного задания Учреждения.

5. Способы и сроки обработки персональных данных

5.1. Обработка персональных данных Пользователя осуществляется не дольше, чем этого требуют цели обработки персональных данных, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств.

5.2. Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, которые установлены законодательством Российской Федерации.

5.3. Администрация совместно с Пользователем принимает все необходимые меры по предотвращению убытков или иных отрицательных последствий, вызванных утратой или разглашением персональных данных Пользователя.

6. Меры по обеспечению безопасности персональных данных

6.1. Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

6.2. Безопасность персональных данных Пользователя при их обработке обеспечивает Администрация.

6.3. Для выполнения работ по обеспечению безопасности персональных данных Пользователя при их обработке на Сайте учреждения могут привлекаться на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по технической защите конфиденциальной информации.

6.4. Меры по обеспечению безопасности персональных данных реализуются в рамках системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 01.11.2012 № 1119, и должны быть направлены на нейтрализацию актуальных угроз безопасности персональных данных.

6.5. В состав мер по обеспечению безопасности персональных данных Пользователя, реализуемых в рамках системы защиты персональных данных, входят:

а) идентификация и аутентификация субъектов доступа и объектов доступа.

Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности);

б) управление доступом субъектов доступа к объектам доступа.

Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил;

в) ограничение программной среды.

Меры по ограничению программной среды должны обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения;

г) защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее — машинные носители персональных данных).

Меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных;

д) регистрация событий безопасности.

Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них;

е) антивирусная защита.

Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации;

ж) обнаружение (предотвращение) вторжений.

Меры по обнаружению (предотвращению) вторжений должны обеспечивать обнаружение действий в информационной системе, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения персональных данных и блокирования доступа к ним, а также реагирование на эти действия;

з) контроль (анализ) защищенности персональных данных.

Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных;

и) обеспечение целостности информационной системы и персональных данных.

Меры по обеспечению целостности информационной системы и персональных данных должны обеспечивать обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность восстановления информационной системы и содержащихся в ней персональных данных;

к) обеспечение доступности персональных данных.

Меры по обеспечению доступности персональных данных должны обеспечивать авторизованный доступ лиц, имеющих права по доступу к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования информационной системы;

л) защита информационной системы, ее средств, систем связи и передачи данных.

Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных;

м) выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее — инциденты), и реагирование на них.

Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов;

н) управление конфигурацией информационной системы и системы защиты персональных данных.

Меры по управлению конфигурацией информационной системы и системы защиты персональных данных должны обеспечивать управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирование этих изменений.

6.5.1. Для обеспечения защищенности персональных данных Пользователя при их обработке Администрация также утверждает перечень лиц, доступ которых к персональным данным Пользователя необходим для выполнения ими своих должностных обязанностей.

6.6. Контроль за выполнением требований, обозначенных в Политике учреждения, организуется и проводится Администрацией (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

7. Права и обязанности Администрации и Пользователя

7.1. Пользователь вправе:

7.1.1. Принимать решение о предоставлении своих персональных данных, необходимых для использования Сайта учреждения, и давать согласие на их обработку.

7.1.2. Обновлять, дополнять предоставленную информацию о персональных данных в случае изменения данной информации.

7.1.3. Получать у Администрации информацию, касающуюся обработки его персональных данных, если такое право не ограничено в соответствии с действующим законодательством Российской Федерации.

7.1.4. Требовать от Администрации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные действующим законодательством Российской Федерации меры по защите своих прав. Для этого достаточно уведомить Администрацию по указанному в пункте 10.2 Политики учреждения адресу электронной почты.

7.2. Пользователь обязан:

7.2.1. Соблюдать условия Политики учреждения.

7.2.2. Не вносить изменения, не передавать во временное пользование, не передавать на условиях займа, не продавать, не распространять и не создавать производные работы на основе содержания Сайта учреждения, за исключением случаев, когда такие действия были письменно прямо разрешены собственниками такого содержания в соответствии с условиями отдельного соглашения.

7.3. Администрация вправе:

7.3.1. Вносить изменения в Политику учреждения без согласия Пользователя.

7.3.2. При разглашении персональных данных в предусмотренных действующим законодательством Российской Федерации случаях не информировать Пользователя о разглашении персональных данных.

7.4. Администрация обязана:

7.4.1. Соблюдать условия Политики учреждения.

7.4.2. Использовать полученную информацию исключительно для целей, указанных в разделе 4 Политики учреждения.

7.4.3. Обеспечивать хранение конфиденциальной информации, не разглашать без предварительного письменного разрешения Пользователя, а также не осуществлять продажу, обмен, опубликование либо разглашение иными способами переданных персональных данных Пользователя, за исключением случаев, предусмотренных пунктом 5.2 Политики учреждения.

7.4.4. Принимать необходимые меры для защиты конфиденциальности персональных данных Пользователя.

7.4.5. Осуществлять блокирование персональных данных, относящихся к соответствующему Пользователю, с момента обращения или запроса Пользователя, его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных на период проверки в случае выявления недостоверных персональных данных или неправомерных действий.

8. Ответственность Администрации и Пользователя

8.1. Администрация, не исполнившая свои обязательства, несет ответственность за убытки, понесенные Пользователем в связи с неправомерным использованием персональных данных, в соответствии с законодательством Российской Федерации, за исключением случаев, предусмотренных пунктами 5.2, 7.2 Политики учреждения.

8.2. В случае утраты или разглашения конфиденциальной информации Администрация не несет ответственности, если данная конфиденциальная информация:

а) стала публичным достоянием до ее утраты или разглашения;

б) была получена третьей стороной до момента ее получения Администрацией;

в) была разглашена с согласия Пользователя.

8.3. Пользователь несет полную ответственность за соблюдение требований законодательства Российской Федерации, в том числе законов о рекламе, о защите авторских и смежных прав, об охране товарных знаков и знаков обслуживания, но не ограничиваясь перечисленным, включая полную ответственность за содержание и форму загружаемых на Сайт учреждения материалов.

8.4. Пользователь признает, что ответственность за любую информацию (в том числе файлы с данными, тексты и т. д.), к которой он может иметь доступ как к части Сайта учреждения, несет лицо, предоставившее такую информацию.

8.5. Пользователь соглашается, что информация, предоставленная ему как часть Сайта учреждения, может являться объектом интеллектуальной собственности, права на которую защищены и принадлежат другим Пользователям, партнерам или рекламодателям, которые размещают такую информацию на Сайте учреждения.

8.6. В отношении текстовых материалов (статей, публикаций, находящихся в свободном публичном доступе на Сайте учреждения) допускается их распространение при условии, что будет дана ссылка на Сайт учреждения.

8.7. Администрация не несет ответственности перед Пользователем за любой убыток или ущерб, понесенный Пользователем в результате удаления, сбоя или невозможности сохранения какого-либо содержания и иных коммуникационных данных, содержащихся на Сайте учреждения или передаваемых через него.

8.8. Администрация не несет ответственности за любые прямые или косвенные убытки, произошедшие:

– из-за использования либо невозможности использования Сайта учреждения либо отдельных сервисов;

– несанкционированного доступа к коммуникациям Пользователя;   

– заявления или поведения любого третьего лица на Сайте учреждения.

8.9. Администрация не несет ответственности за какую-либо информацию, размещенную Пользователем на Сайте учреждения, в том числе информацию, защищенную авторским правом, без прямого согласия владельца авторского права.

9. Разрешение споров

9.1. До обращения в суд с иском по спорам, возникающим из отношений между Пользователем и Администрацией, обязательным является предъявление претензии в письменном виде.

9.2. Получатель претензии в течение 30 календарных дней со дня получения претензии письменно уведомляет заявителя претензии о результатах рассмотрения претензии.

9.3. При недостижении соглашения спор будет передан на рассмотрение Арбитражного суда Московской области.

9.4. К Политике учреждения и отношениям между Пользователем и Администрацией применяется действующее законодательство Российской Федерации.

10. Дополнительные условия

10.1. Политика учреждения (в том числе изменения к Политике учреждения) вступает в силу с момента ее размещения на Сайте учреждения, если иное не предусмотрено Политикой учреждения.

10.2. Все предложения или вопросы касательно Политики учреждения следует сообщать по адресу электронной почты info@fagps.ru.

10.3. Действующая Политика учреждения размещена на странице по адресу http://www.fagps.ru/politika/