logo
Login iconВойти
logo
КейсыБухгалтеруarrow green
Login iconВойти

Политика при обработке персональных данных граждан Российской Федерации

01.04.2026Настоящая Политика обработки персональных данных (далее – Политика) является основополагающим, декларирующим концептуальные основы деятельности Оператора при обработке и защите персональных данных в условиях наличия угроз безопасности, актуальных при обработке персональных данных, документом.Основные термины и определения, используемые в Политике:Субъект персональных данных (далее – Субъект) – физическое лицо, чьи персональные данные обрабатываются в Системе, а также в иных сервисах и (или) продуктах Оператора. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных), использующему Систему, а также иные сервисы и (или) продукты Оператора.Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».Оператор персональных данных (Оператор) – ООО «Объединенный расчетный центр» (ИНН 7810532221 / КПП 781001001 / ОГРН 1089847384362, юридический адрес: 196105 г. Санкт-Петербург, пр. Юрия Гагарина, д. 1, лит. А, оф. 755), самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.Оператор по переводу средств – организация, обладающая правом в соответствии с российским законодательством, осуществлять переводы денежных средств.Конфиденциальность персональных данных – лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Законом о персональных данных.Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.Обработка персональных данных без использования средств автоматизации (неавтоматизированная) – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если все действия с персональными данными в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека.Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.Система – программно-аппаратный комплекс Оператора, обеспечивающий информационное и технологическое взаимодействие между участниками финансовых расчетов, в том числе, но не ограничиваясь, Оператором, Субъектами и Операторами по переводу средств.Сайт – веб-сайт, принадлежащий Оператору, расположенный в сети Интернет по адресу: https://www.invoicebox.ru.1. ОБЩИЕ ПОЛОЖЕНИЯ1.1. Настоящая Политика действует в отношении Персональных данных, которые Оператор может получить от Субъектов, использующих Систему, а также иные сервисы и (или) продукты Оператора.1.2. В рамках настоящей Политики под персональным данными понимаются:1.2.1. Персональные данные, которые Субъект предоставляет о себе самостоятельно при использовании Системы, а также иных сервисов и (или) продуктов Оператора. 1.2.2. Данные, которые передаются автоматически в процессе их использования с помощью установленного на устройстве Субъекта программного обеспечения, в том числе IP-адрес, данные файлов cookie, информация о браузере (или иной программе, с помощью которой осуществляется доступ к Системе), технические характеристики используемых оборудования и программного обеспечения, адреса запрашиваемых страниц и иная подобная информация.1.3. Настоящая Политика применяется к Системе, а также иным сервисам и (или) продуктам Оператора. Оператор не контролирует и не несет ответственности за сайты или иные цифровые (информационные) ресурсы третьих лиц, на которые Субъект может перейти в процессе использования Системы.1.4. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:−Конституция Российской Федерации;−Гражданский кодекс Российской Федерации;−Налоговый кодекс Российской Федерации;−Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;−Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), иные нормативные правовые акты Российской Федерации, принятые в сфере защиты персональных данных, а также отраслевые федеральные законы, регулирующие деятельность Оператора;−иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.1.5. Правовым основанием обработки персональных данных также могут являться:−договор на предмет оказания услуг по обеспечению информационного и технологического взаимодействия между участниками расчетов, заключенный между Оператором и Субъектом посредством акцепта публичной оферты, размещенной на Сайте (п. 5 ч. 1 ст. 6 Закона о персональных данных);−согласие субъектов персональных данных на обработку их персональных данных (за исключением случаев, предусмотренных п. 2-11 ч. 1 ст. 6 Закона о персональных данных).−осуществление прав и законных интересов Оператора, партнеров, третьих лиц, при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных (п. 7 ч. 1 ст. 6 Закона о персональных данных);−исполнение законных обязанностей Оператора (п. 2 ч. 1 ст. 6 Закона о персональных данных).1.6. В соответствии с п. 7 ч. 4 ст. 16 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» все персональные данные хранятся на сервере, находящимся на территории РФ.1.7. Персональные данные, предоставленные Субъектом, являются конфиденциальными. Оператор обеспечивает надлежащую защиту, безопасность и конфиденциальность предоставленных данных и не допускает их распространения третьим лицам без согласия Субъекта, за исключением случаев, предусмотренных законодательством РФ.1.8. Субъект подтверждает, что ознакомился и безоговорочно принимает все условия настоящей Политики, размещённой на сайте Оператора.1.9. Использование Системы, а также иных сервисов и (или) продуктов Оператора возможно только при безусловном согласии со всеми условиями Политики. При несогласии с условиями настоящей Политики, либо при непонимании положений настоящей Политики, Субъект должен воздержаться от использования Системы, а также иных сервисов и (или) продуктов Оператора.1.10. Оператор обрабатывает персональные данные только в определенных Политикой целях, установленных разделом 2 настоящей Политики.2. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ. КАТЕГОРИИ СУБЪЕКТОВ И ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ 2.1. Оператор собирает и хранит только те персональные данные, которые необходимы для обеспечения корректной работы Системы, а также иных сервисов и (или) продуктов Оператора, за исключением случаев, когда законодательством РФ предусмотрено обязательное хранение персональных данных в течение определенного законом срока.2.2. Список целей обработки персональных данных Оператором и соответствующие им категории Субъектов, а также категории и перечень обрабатываемых данных по каждой категории Субъектов:№ 1. Категория субъекта данных: Субъекты (физические лица и (или) представители юридических лиц, бенефициарных владельцев и (или) выгодоприобретателей).Цель обработки: Заключение и исполнение Договора на предмет оказания услуг по обеспечению информационного и технологического взаимодействия между участниками расчетов; идентификация Субъектов в рамках исполнения Оператором обязательств по обеспечению информационного и технологического взаимодействия между участниками расчетов; регистрация в Личном кабинете Системы и предоставление доступа в Систему, а также к иным опциям и (или) сервисам Оператора. Обработка обращений, запросов, заявлений, опросов Субъектов. Информирование об опциях Системы, услугах, сервисах и (или) продуктах Оператора и маркетинговые коммуникации путем звонков и рассылок, связанные с предоставлением продуктов и (или) услуг Оператора. Развитие (разработка/улучшение/повышение привлекательности) продуктов, сервисов и услуг Оператора, повышение качества обслуживания, улучшение качества работы Системы, проведение статистических исследований и аналитики. Исполнение требований законодательства, в том числе в рамках судопроизводства, идентификации Субъектов (представителей, бенефициаров, выгодоприобретателей); уведомления и запросы ФНС, иных государственных органов о плательщиках и получателях; предоставлении информации о платежах/транзакциях в государственные информационные системы; предоставление любых видов отчетности, предусмотренной законодательством, прочее. Безопасность (информационная, иная), в т.ч. проведения онлайн платежей. Выявление противоправных и/или запрещенных действий при использовании Системы или иных сервисов и (или) продуктов Оператора, случаев мошенничества, хищения денежных средств, иных противоправных действий, предотвращение таких противоправных действий в дальнейшем и локализация последствий таких действий, оценка рисков сотрудничества, проверка достоверности предоставленных сведений.Категория и перечень обрабатываемых данных: Фамилия, имя, отчество; адрес электронной почты; номер телефона; логин; дата рождения; гражданство; реквизиты документа, удостоверяющего личность (серия и номер паспорта, наименование подразделения, выдавшего документ, дата выдачи документа, место рождения, адрес регистрации); данные документа, подтверждающего право иностранного гражданина или лица без гражданства на пребывание (проживание) в РФ; данные миграционной карты; адрес фактического проживания или места пребывания; ИНН; СНИЛС; сведения о месте работы, должность; сведения о принадлежности к иностранному публичному должностному лицу/публичному должностному лицу; реквизиты банковского счета; сведения о наличии возбужденных дел о банкротстве; сведения об исполнительных листах/судебных приказах, в том числе сведения об обязательствах; сведения о платежных транзакциях; сведения, содержащиеся в чеках, сформированных контрольно-кассовой техникой в момент совершения Субъектом расчетов с использованием электронного средства платежа; информация о действиях Субъекта в Системе; информация об участии Субъекта в программах лояльности, реализуемых Оператором или ее партнерами; идентификаторы Субъекта в базах данных партнеров Оператора; информация о действиях, совершаемых на сайтах Оператора; статистические, технические, функциональные типы данных, дата и время выполнения действия, URL страницы, тип Субъектского устройства, IP-адрес, Referer, User-Agent, ClientID, экранное разрешение, класс HTML-элемента, на который происходит клик и т.д.; информация, автоматически передаваемая устройством Субъекта в результате технологического взаимодействия с Оператором, в т.ч. из файлов сookies; иная информация, предоставляемая лицом самостоятельно в процессе коммуникации с Оператором. Персональные данные, входящие в категорию «Биометрические персональные данные» — не обрабатываются.№ 2. Категория субъекта данных: Субъекты/Посетители сайта Оператора/Иные лица, проявляющие интерес и (или) изъявившие желание получать персонализированные предложения услуг Оператора (физические лица) и (или) выразившие согласие на обработку персональных данных в целях участия в маркетинговых мероприятиях Оператора и (или) обработка данных которых осуществляется Оператором в целях исполнения требований законодательства РФ.Цель обработки: Проведение статистического учета и анализ активности Субъектов на сайте Оператора. Обработка обращений, запросов, заявлений, опросов Субъектов. Информирование о продуктах, сервисах, услугах и маркетинговые коммуникации путем звонков и рассылок, связанные с предоставлением услуг. Безопасность (информационная, иная). Выявление противоправных и/или запрещенных действий при использовании Системы, случаев мошенничества, хищения денежных средств, иных противоправных действий, предотвращение таких противоправных действий в дальнейшем и локализация последствий таких действий, оценка рисков сотрудничества, проверка достоверности предоставленных сведений.Категория и перечень обрабатываемых данных: Фамилия, имя, отчество; адрес электронной почты; номер телефона, IP-адрес, cookie, иные предоставленные лицом данные. Персональные данные, входящие в категорию «Специальные категории персональных данных» и в категорию «Биометрические персональные данные» — не обрабатываются.№ 3. Категория субъекта данных: Плательщики (физические лица, осуществляющие безналичное перечисление денежных средств).Цель обработки: Заключение и исполнение Договора на предмет оказания услуг по обеспечению информационного и технологического взаимодействия между участниками расчетов посредством Системы, использование иных сервисов и (или) продуктов Оператора.Категория и перечень обрабатываемых данных: Адрес электронной почты, реквизиты электронного средства платежа. Персональные данные, входящие в категорию «Специальные категории персональных данных» и в категорию «Биометрические персональные данные» — не обрабатываются.№ 4. Категория субъекта данных: Контрагенты/партнеры Оператора (физические лица и юридические лица в лице представителей).Цель обработки: Заключение и исполнение договора партнерской оферты, иного договора гражданско-правового характера, в том числе: выплата вознаграждения и иных платежей, передача данных и/или поручение на обработку третьим лицам для исполнения обязательств по договору, ведение бухгалтерского и налогового учета, защита прав сторон договора. Исполнение требований нормативно-правовых актов, в том числе в рамках судопроизводства, уведомления и запросы ФНС, иных государственных органов; предоставлении информации о платежах в государственные информационные системы; предоставление любых видов отчетности, предусмотренной законодательством и т.д. Безопасность (информационная и иная безопасность). Выявление противоправных и/или запрещенных действий при использовании Системы, а также иных сервисов и (или) продуктов Оператора, случаев мошенничества, хищения денежных средств, иных противоправных действий, предотвращение таких противоправных действий в дальнейшем и локализация последствий таких действий, оценка рисков сотрудничества, проверка достоверности предоставленных сведений.Категория и перечень обрабатываемых данных: Фамилия, имя, отчество; дата рождения; адрес регистрации и/или фактического проживания (места пребывания); данные документа, удостоверяющего личность; СНИЛС; ИНН; реквизиты электронного средства платежа и/или расчетного счета; адрес электронной почты; номер(а) телефона(ов), иные предоставленные лицом данные. Персональные данные, входящие в категорию «Специальные категории персональных данных» и в категорию «Биометрические персональные данные» — не обрабатываются.№ 5. Категория субъекта данных: Лица, входящие в органы управления Субъекта (физические лица и юридические лица в лице представителей, бенефициарных владельцев, выгодоприобретателей).Цель обработки: Безопасность (информационная и иная безопасность). Выявление противоправных и/или запрещенных действий при использовании Системы, а также иных сервисов и (или) продуктов Оператора, случаев мошенничества, хищения денежных средств, иных противоправных действий, предотвращение таких противоправных действий в дальнейшем и локализация последствий таких действий, оценка рисков сотрудничества, проверка достоверности предоставленных сведений. Развитие (разработка/улучшение/повышение привлекательности) продуктов, сервисов и услуг, проведение статистических исследований и аналитики. Исполнение требований нормативно-правовых актов, в том числе в рамках судопроизводства, уведомлений ФНС и т.д.Категория и перечень обрабатываемых данных: Фамилия, имя, отчество; дата рождения; адрес регистрации и/или фактического проживания (места пребывания); данные документа, удостоверяющего личность; адрес электронной почты; номер(а) телефона(ов), иные предоставленные лицом данные. Персональные данные, входящие в категорию «Специальные категории персональных данных» и в категорию «Биометрические персональные данные» — не обрабатываются.3. УСЛОВИЯ И ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ И ЕЁ ПЕРЕДАЧИ ТРЕТЬИМ ЛИЦАМ3.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.Оператор в случаях и порядке, предусмотренном Законом о персональных данных, до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.3.2. Система, а также иные сервисы и (или) продукты Оператора хранят персональные данные Субъекта в соответствии с внутренними регламентами.3.3. В отношении персональных данных Субъекта сохраняется ее конфиденциальность, кроме случаев добровольного предоставления Субъектом информации о себе для общего доступа неограниченному кругу лиц. При использовании отдельных функциональных возможностей Системы, а также иных сервисов и (или) продуктов Оператора Субъект соглашается с тем, что определенная часть его персональных данных становится доступной для третьих лиц.Оператор при этом осуществляет передачу (предоставление) персональных данных Субъекта третьим лицам только для цели реализации функционала Системы, а также иных сервисов и (или) продуктов Оператора, в частности передача персональных данных осуществляется Оператором:−в расчетные банки и (или) иные кредитные организации, участвующие в осуществлении переводов в рамках предоставляемых Оператором услуг, в целях соблюдения должного уровня безопасности онлайн платежей, совершаемых с использованием электронных средств платежа. Оператор может передавать сведения, перечень которых устанавливается протоколами безопасности платежных систем, банкам-эквайерам, банкам-эмитентам электронных средств платежа, платежным системам и/или от них.−в рамках функционирования сервиса быстрых платежей платежной системы Банка России (СБП) персональные данные Субъекта могут передаваться АО «НСПК», участникам СБП, а также плательщикам (получателям) по операциям, совершаемым с использованием СБП.−иным лицам при осуществлении маркетинговых мероприятий, в случае получения на это согласия от Субъекта.Передача персональных данных указанным третьим лицам может осуществляться только при условии обработки такими лицами персональных данных в минимально необходимом составе и исключительно для достижения предусмотренных настоящей Политикой целей обработки персональных данных, а также при условии обеспечения такими лицами конфиденциальности и безопасности персональных данных при их обработке.3.4. Передача персональных данных Субъекта третьим лицам осуществляется в следующих случаях:3.4.1. Субъект выразил согласие на такие действия.3.4.2. Передача необходима для использования Субъектом Системы, либо иных сервисов и (или) продуктов Оператора, либо для исполнения договора, заключенного с Оператором.3.4.3. Передача предусмотрена российским законодательством в рамках установленной процедуры. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации осуществляется в порядке, предусмотренном действующим законодательством РФ. 3.4.4. В случае продажи Системы, при которой к приобретателю переходят все обязательства по соблюдению условий настоящей Политики в отношении полученных им персональных данных.3.5. Обработка персональных данных Субъекта осуществляется без ограничения срока следующими способами: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств. 3.6. При утрате или разглашении персональных данных Оператор информирует Субъекта об утрате или разглашении персональных данных.3.7. Оператор совместно с Субъектом принимает все необходимые меры по предотвращению убытков или иных отрицательных последствий, вызванных утратой или разглашением персональных данных Субъекта.3.8. Обработка персональных данных осуществляется с согласия Субъектов на обработку их персональных данных, а в случаях, предусмотренных пп. 2-11 п. 1 ст. 6 Закона о персональных данных без получения согласия Субъекта. Согласие Субъекта на обработку персональных данных Оператор получает в электронной форме, в том числе:−посредством проставления галочки в специальном чек-боксе рядом с надписью «Согласен на обработку моих данных в соответствии с Политикой обработки персональных данных» или аналогичной ей;−посредством конклюдентных действий: использование Системы, а также иных сервисов и (или) продуктов Оператора.Согласие Субъекта оформляется отдельно от иных документов, соглашений и заявлений, связанных с использованием Системы, и хранится обособленно от них. Такое согласие не является частью других соглашений или заявлений, подтверждаемых и (или) подписываемых Субъектом.3.9. Оператор осуществляет обработку персональных данных для каждой цели их обработки следующими способами:−неавтоматизированная обработка персональных данных;−автоматизированная обработка персональных данных с помощью средств вычислительной техники с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;−смешанная обработка персональных данных (автоматизированная и неавтоматизированная).3.10. Способы и сроки обработки и хранения персональных данных применительно к каждой цели обработки персональных данных устанавливаются с учетом соблюдения требований, в том числе условий обработки персональных данных, определенных законодательством РФ и (или) с учетом положений договора, стороной по которому выступает Субъект и (или) согласия субъекта персональных данных (Субъекта) на обработку его персональных данных, при этом обработка и хранение осуществляются не дольше, чем этого требуют цели обработки персональных данных, если иное не установлено законодательством РФ.3.11. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных. Список лиц, допущенных к обработке персональных данных, утверждается приказом Оператора.3.12. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен законом или договором.Хранение персональных данных, цели обработки которых различны, осуществляется раздельно в рамках информационной системы Оператора или, при условии хранения на материальных носителях, в рамках служебных обязанностей соответствующего работника Оператора.Обработка и хранение документов и сведений, необходимых для идентификации личности, в соответствии с нормативными требованиями законодательства РФ по противодействию легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма и финансированию распространению оружия массового уничтожения (п. 4 ст. 7 Федерального закона от 07.08. 2001 г. № 115-ФЗ) — не менее 5 лет. Указанный срок исчисляется со дня прекращения отношений с Субъектом.3.13. В случае выявления неточных персональных данных при обращении Субъекта или его представителя либо по их запросу или по запросу уполномоченного органа государственной власти Оператор осуществляет блокирование персональных данных, относящихся к этому Субъекту, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы Субъекта или третьих лиц.В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных Субъектом или его представителем, либо уполномоченным органом государственной власти, или иных необходимых документов уточняет персональные данные в течение 7 (семи) рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.3.14. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. 3.15. Оператор обеспечивает резервное копирование персональных данных в своей архитектуре с целью предотвращения потери информации при сбоях оборудования; программного обеспечения; аппаратных сбоях; сбоях операционной системы и прикладного программного обеспечения; заражении вредоносными программами; непреднамеренном уничтожении информации, преднамеренном уничтожении информации и т.п.3.16. Резервному копированию подлежит информация следующих основных категорий:−персональные данные Субъекта;−информация, необходимая для восстановления серверов и систем управления базами данных Системы;−информация автоматизированных систем архитектуры Оператора, в том числе баз данных.3.17. Резервное копирование персональных данных производится с периодичностью 1 (один) раз в месяц. Контроль результатов всех процедур резервного копирования осуществляется лицом, ответственным за обработку персональных данных, назначенным из числа работников Оператора в течение 5 (Пяти) рабочих дней с момента выполнения этих процедур. В случае обнаружения ошибки системы резервного копирования, лицо, ответственное за резервное копирование, сообщает об этом Оператору в минимально возможный срок. Проверка резервных копий осуществляется выборочно не реже 1 (одного) раза в месяц.3.18. Согласие на обработку персональных данных, разрешенных Субъектом для распространения, оформляется по утвержденной форме отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Молчание или бездействие Субъекта ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных Субъектом для распространения. Оператор не вправе без согласия Субъекта персональных данных распространять и обрабатывать любым иным способом персональные данные, раскрытые Субъектом неопределенному кругу лиц без предоставления Оператору согласия на обработку персональных данных, разрешенных Субъектом для распространения.3.19. Согласие на обработку персональных данных, разрешенных Субъектом для распространения, должно содержать:−фамилию, имя, отчество (при наличии) Субъекта;−контактную информацию (номер телефона, адрес электронной почты или почтовый адрес Субъекта);−сведения об Операторе (наименование, адрес согласно данным ЕГРЮЛ, ИНН, ОГРН;−сведения об информационных ресурсах Оператора (адрес, состоящий из наименований протокола (http), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными Субъекта;−цель (цели) обработки персональных данных;−категории и перечень персональных данных, на обработку которых дается согласие Субъекта;−категории и перечень персональных данных, для обработки которых Субъект устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов (заполняется по желанию субъекта персональных данных);−условия, при которых полученные персональные данные могут передаваться Оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта персональных данных);−срок действия согласия.3.20. Согласие на обработку персональных данных, разрешенных Субъектом для распространения, может быть предоставлено Оператору:−непосредственно;−с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.3.21. Оператор не позднее 3 (трех) рабочих дней с момента получения соответствующего согласия Субъекта опубликовывает информацию об условиях обработки персональных данных и о наличии запретов на обработку неограниченным кругом лиц персональных данных, разрешенных Субъектом для распространения.3.22. Оператор не позднее 3 (трех) рабочих дней прекращает передачу (распространение, предоставление, доступ) персональных данных, ранее разрешенных Субъектом для распространения, при получении соответствующего требования Субъекта.4. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА И ОПЕРАТОРА4.1. Субъект вправе:4.1.1. получать сведения об Операторе, о месте его нахождения, о наличии у Оператора персональных данных, относящихся к соответствующему Субъекту, а также на ознакомление с такими персональными данными;4.1.2. требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;4.1.3. отозвать согласие на обработку персональных данных, ограничить способы и формы обработки персональных данных, запретить распространение персональных данных без его согласия;4.1.4. осуществлять защиту своих прав и законных интересов в соответствии с законодательством РФ.4.2. Субъект обязан:4.2.1. предоставить информацию о персональных данных, необходимую для использования Системы;4.2.2. обновлять, дополнять предоставленную информацию о персональных данных в случае её изменения.4.3. Оператор обязан:4.3.1. использовать полученную информацию исключительно для целей, указанных в настоящей Политике;4.3.2. обеспечить хранение персональных данных в тайне, не разглашать без предварительного письменного разрешения Субъекта, а также не осуществлять продажу, передачу, обмен, опубликование либо разглашение иными возможными способами переданных персональных данных, за исключением случаев, предусмотренных настоящей Политикой;4.3.3. осуществить блокирование персональных данных, относящихся к соответствующему Субъекту, с момента обращения или запроса Субъекта или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных на период проверки в случае выявления недостоверных персональных данных или неправомерных действий.4.4. Оператор вправе:4.4.1. самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;4.4.2. поручить обработку персональных данных другому лицу с согласия Субъекта, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных;4.4.3. в случае отзыва Субъектом согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия Субъекта исключительно при наличии оснований, указанных в Законе о персональных данных.4.5. Оператор обязан:4.5.1. организовывать обработку персональных данных в соответствии с требованиями Политики и Закона о персональных данных;4.5.2. отвечать на обращения и запросы Субъектов и их законных представителей в соответствии с требованиями Закона о персональных данных, в том числе сообщать Субъекту или его представителю информацию о наличии персональных данных, относящихся к соответствующему Субъекту, а также предоставить возможность ознакомления с этими персональными данными при обращении Субъекта или его представителя либо в течение 10 (десяти) рабочих дней с даты получения запроса Субъекта или его представителя;4.5.3. сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 (десяти) рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более, чем на 5 (пять) рабочих дней. Для этого Оператору необходимо направить в уполномоченный орган мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;4.5.4. прекратить обработку персональных данных в случае отзыва Субъектом согласия на обработку его персональных данных или обеспечить прекращение такой обработки если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора, а в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва;4.5.5. уничтожить или обезличить персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законом в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого или поручителем по которому является Субъект, иным соглашением между оператором и Субъектом либо если оператор не вправе осуществлять обработку персональных данных без согласия Субъекта на основаниях, предусмотренных законом;4.5.6. в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.5. ОБЪЕМ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ 5.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 2 настоящей Политики. 5.2. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. 6. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ6.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором Субъекту или его представителю при обращении либо при получении запроса Субъекта или его представителя.6.2. Для любых обращений к Оператору Субъекту надлежит использовать средства коммуникаций, принадлежащие ему лично.6.3. Субъект вправе направлять запросы на предмет получения информации, касающейся обработки его персональных данных, по следующему адресу: 196105, г. Санкт-Петербург, пр. Юрия Гагарина, д. 1, лит. А, оф. 755.6.4. В предоставляемые сведения не включаются персональные данные, относящиеся к другим Субъектам, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.6.5. Запрос на доступ к персональным данным должен содержать:−номер основного документа, удостоверяющего личность Субъекта или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;−для представителя: регистрационный номер доверенности, дата выдачи доверенности, фамилия, имя, отчество нотариуса, выдавшего доверенность;−сведения, подтверждающие участие Субъекта в отношениях с Оператором, либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;−подпись Субъекта или его уполномоченного представителя.6.6. Представитель Субъекта предоставляет Оператору персональных данных нотариально удостоверенную доверенность или иной документ в соответствии с законодательством РФ, подтверждающий наличие соответствующих полномочий.Если Оператор имеет основания для сомнения относительно установления личности Субъекта или его законного представителя, подающего запрос на доступ к персональным данным, Оператор вправе затребовать предоставления дополнительной информации, необходимой для подтверждения личности такого Субъекта или его законного представителя.6.7. Рассмотрение запроса на доступ к персональным данным осуществляется Оператором в течение 10 (десяти) календарных дней с момента поступления запроса от Субъекта или его законного представителя. 6.8. Оператор по запросу Субъекта предоставляет персональные данные, относящиеся только к Субъекту, направившему запрос. Персональные данные, относящиеся к иным Субъектам, не предоставляются.6.9. Если в обращении (запросе) Субъекта не отражены все необходимые сведения в соответствии с требованиями Закона о персональных данных или Субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.6.10. Право Субъекта на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ Субъекта к его персональным данным нарушает права и законные интересы третьих лиц.6.11. В случае отзыва Субъектом согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого является Субъект, иным соглашением между оператором и Субъектом либо если оператор не вправе осуществлять обработку персональных данных без согласия Субъекта данных на основаниях, предусмотренных законом.Уведомление об отзыве согласия на обработку персональных данных направляется в письменной форме по адресу местонахождения Оператора (Российская Федерация, 196105, г. Санкт-Петербург, пр-кт Юрия Гагарина, д.1, оф. 755).В соответствии с Законом о персональных данных в случае отзыва Субъектом согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без его согласия при наличии оснований, указанных в Законе о персональных данных. Отзыв согласия может также означать, что предоставление услуг Субъекту будет прекращено, так как отказ от предоставления согласия на обработку персональных данных повлечет невозможность использования Системы и, соответственно, оказания услуг в соответствии с заключенным договором6.12. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого или поручителем по которому является Субъект, иным соглашением между Оператором и Субъектом либо если Оператор не вправе осуществлять обработку персональных данных без согласия Субъекта на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами. 6.13. Способы уничтожения персональных данных определяются внутренними нормативными документами Оператора с учетом применяемых способов обработки персональных данных и типов материальных носителей, используемых для записи и хранения персональных данных.Уничтожение персональных данных осуществляется с соблюдением следующих требований:−Невозможность восстановления уничтоженных данных.−Соответствие метода уничтожения типу носителя информации.−Использование сертифицированных методов и оборудования.6.14. В случае отсутствия возможности уничтожения персональных данных в течение установленного срока, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен законом.7. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ7.1. Обеспечение безопасности персональных данных при их обработке Оператором осуществляется в соответствии с российским законодательством и требованиями уполномоченного органа государственной власти по защите прав субъектов персональных данных.7.2. Оператор предпринимает необходимые организационные и технические меры для защиты персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других неправомерных действий.7.3. Меры защиты, реализуемые Оператором при обработке персональных данных, включают:−определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;−принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных, направленных на обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных;−применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;−назначение должностного лица, ответственного за организацию обработки персональных данных;−организацию обучения и проведение методической работы с работниками Оператора, осуществляющими обработку персональных данных;−установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;−организацию учета машинных (материальных) носителей персональных данных и информационных систем, в которых обрабатываются персональные данные;−хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;−обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации;−обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях;−установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям и сети Интернет без применения установленных у Оператора мер по обеспечению безопасности персональных данных;−обеспечение защиты документов, содержащих персональные данные, на бумажных и иных материальных носителях при их передаче третьим лицам;−обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных;−восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;−осуществление внутреннего контроля за соблюдением у Оператора российского законодательства и локальных нормативных актов при обработке персональных данных. 7.4. Должностное лицо, ответственное за организацию обработки персональных данных, обязано:−осуществлять внутренний контроль за соблюдением Оператором и его работниками российского законодательства о персональных данных, в том числе требований к защите персональных данных;−доводить до сведения работников Оператора положения российского законодательства о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;−организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.8. ОТВЕТСТВЕННОСТЬ СТОРОН8.1. Ответственность за нарушение требований и нормативных актов в сфере обработки и защиты персональных данных определяется в соответствии с российским законодательством.8.2 Оператор, не исполнивший свои обязательства, несет ответственность за убытки, понесенные Субъектом в связи с неправомерным использованием его персональных данных.8.3. Оператор не несет ответственности в случае утраты или разглашения персональных данных, если:−они стали публичным достоянием до ее утраты или разглашения;−они были получены от третьей стороны до момента ее получения Оператором;−они были разглашены с согласия Субъекта;−они были разглашены в результате неосторожных действий Субъекта;−они были разглашены по вине Субъекта;−они были разглашены в результате некорректного использования Субъектом Системы.9. РАЗРЕШЕНИЕ СПОРОВ9.1. До обращения в суд с иском по спорам, возникающим из отношений между Субъектом и Оператором, обязательным является предъявление претензии (письменного предложения о добровольном урегулировании спора).Претензии Субъекта принимаются к рассмотрению только если они получены в письменном виде по адресу: 196105 г. Санкт-Петербург, пр. Юрия Гагарина, д. 1, лит. А, оф. 755 и (или) адресу электронной почты: c-support@invoicebox.ru. Сообщения (уведомления, извещения), полученным по иным каналам связи и (или) иным адресам не могут быть квалифицированы в качестве претензии и их рассмотрение осуществляется в произвольном порядке.9.2. Получатель претензии в течение 20 (двадцати) рабочих дней со дня получения претензии письменно уведомляет заявителя претензии о результатах рассмотрения претензии.9.3. В случае невозможности разрешения спора в претензионном порядке, спор подлежит передаче на рассмотрение в суд в соответствии с действующим российским законодательством.9.4. К настоящей Политике и отношениям между Субъектом и Оператором применяется действующее российское законодательство.10. ДОПОЛНИТЕЛЬНЫЕ УСЛОВИЯ10.1. Оператор имеет право в одностороннем порядке изменить текст Политики без предварительного уведомления об этом Субъекта. В таком случае надлежащим уведомлением Субъекта будет являться публикация новой редакции Политики на Сайте. Ответственность за своевременное ознакомление с действующей редакцией Политики целиком и полностью лежит на Субъекте.10.2. Новая Политика вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией Политики.10.3. Политика является общедоступным документом, его действующая редакция всегда доступна на Сайте.10.4. Политика составлена на русском языке. В случае необходимости в переводе иностранные Субъекты обязуются осуществить перевод на нужный им язык своими силами и за свой счет. При разночтениях между русскоязычной и иностранной версией Политики, приоритет имеет русскоязычная версия.