ПРАВИЛА, ОПРЕДЕЛЯЮЩИЕ ПОЛИТИКУ ОБЩЕСТВА С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ХВД» (ИНН 6161062312) В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
г. Ростов-на-Дону
«09» июня 2026 года
1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
В настоящих Правилах используются следующие термины:
| Термин | Определение |
|---|---|
| Персональные данные | Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон). |
| Оператор | Общество с ограниченной ответственностью «ХВД» (ОГРН 1116193005202, ИНН 6161062312), юридический адрес: 344092, Ростовская область, г. Ростов-на-Дону, ул. Творческая, д. 9, стр. 1, помещ. Н 13, зарегистрированное в реестре Роскомнадзора под номером 61-20-011273, дата внесения в реестр 23.01.2020, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки, состав персональных данных и действия с ними. |
| Пользовательское соглашение | Публичная оферта ООО «ХВД», регулирующая условия доступа и использования сервиса «Boomstream», актуальная версия которой размещена по адресу: https://boomstream.ru/terms. |
| Сайт / Платформа | Совокупность программно-технических решений и контента, доступных в сети Интернет по адресам: https://boomstream.ru (русскоязычная версия), https://boomstream.com (международная версия), а также на их поддоменах. |
| Обработка персональных данных | Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. |
| Автор | Пользователь, зарегистрировавший Аккаунт на Платформе и использующий её сервисы для размещения, трансляции или монетизации контента. |
| Покупатель | Пользователь, который приобрёл доступ к контенту Автора через сервис монетизации Платформы. |
| Сделка | Последовательные действия Покупателя и Автора по приобретению Электронного билета на Сайте «Boomstream». |
1.1. Иные термины, используемые в настоящих Правилах, толкуются в соответствии с действующим законодательством Российской Федерации и определениями, закреплёнными в Пользовательском соглашении. В случае разночтений приоритет имеют определения Пользовательского соглашения.
1.2. Настоящие Правила являются локальным нормативным актом Оператора по вопросам обработки персональных данных и разработаны во исполнение требований Закона, иных нормативных правовых актов Российской Федерации.
1.3. Целью настоящих Правил является обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
2. ОБЩИЕ ПОЛОЖЕНИЯ
2.1. Настоящие Правила определяют порядок обработки и защиты информации о физических лицах (далее — «Пользователь», «субъект персональных данных»), которая может быть получена Оператором при использовании Пользователем сервисов Платформы, включая регистрацию, оформление Сделок, заключение и исполнение договоров на оказание услуг.
2.2. Настоящие Правила действуют в отношении всей информации и персональных данных, которые Оператор может получить о Пользователе сети Интернет, использующем сервисы Платформы.
2.3. Оператор не контролирует и не несёт ответственность за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на Платформе, и за использование персональной информации, представляемой Пользователем на сайтах третьих лиц.
2.4. Во исполнение Закона и настоящих Правил Оператор вправе принимать иные локальные нормативные акты, регламентирующие отдельные аспекты обработки и защиты персональных данных.
2.5. В случае отказа Пользователя от принятия условий настоящих Правил использование Платформы должно быть немедленно прекращено.
3. СОСТАВ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Под персональной информацией Пользователей Платформы понимается любая информация, прямо или косвенно относящаяся к физическому лицу (субъекту персональных данных), а именно:
3.1.1. Данные, предоставляемые Пользователем самостоятельно:
- фамилия, имя, отчество (при наличии);
- адрес электронной почты;
- номер контактного мобильного телефона;
- данные, необходимые для оформления Сделки и выдачи Электронного билета;
- иная контактная и регистрационная информация, предоставляемая при создании Аккаунта или заполнении форм на Платформе.
3.1.2. Данные, передаваемые автоматически в процессе использования Платформы:
- IP-адрес, MAC-адрес, ICCID;
- данные cookie и аналогичные технологии отслеживания;
- информация об устройстве, браузере, операционной системе;
- данные о геолокации (при наличии соответствующего разрешения в настройках устройства);
- сведения о действиях Пользователя на Платформе (просмотры, покупки, настройки).
3.1.3. Данные, полученные от третьих лиц:
- информация от Авторов о Покупателях в объёме, необходимом для исполнения обязательств по Сделке;
- данные от платёжных провайдеров и банков, необходимые для обработки платежей;
- иная информация, полученная в случаях, предусмотренных законодательством Российской Федерации.
3.1.4. Обрабатываемые Оператором файлы cookies представляют собой техническую, служебную, аналитическую и иную информацию о посещении сайтов, взаимодействии с их страницами, формами и функциональными элементами. Обработка персональных данных граждан Российской Федерации при их сборе осуществляется с использованием баз данных, находящихся на территории Российской Федерации.
3.2. Обязательная для предоставления информация помечена специальным образом на Платформе. Предоставление необязательных данных осуществляется Пользователем добровольно.
3.3. Совершая акцепт Пользовательского соглашения, Пользователь подтверждает достоверность предоставляемых персональных данных и соглашается на их обработку в порядке и на условиях, предусмотренных настоящими Правилами.
4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных Пользователя осуществляется Оператором в соответствии с законодательством Российской Федерации в следующих целях:
4.1. Регистрация и идентификация Пользователя на Платформе, создание и ведение Аккаунта.
4.2. Исполнение обязательств по Пользовательскому соглашению, включая оформление Сделок, выдачу Электронных билетов, предоставление доступа к Контенту.
4.3. Обработка платежей, взаимодействие с платёжными провайдерами, возврат денежных средств.
4.4. Техническая поддержка, направление уведомлений о статусе Сделок, ответы на обращения Пользователей.
4.5. Направление информационных и маркетинговых сообщений, только при наличии отдельного согласия Пользователя.
4.6. Обеспечение безопасности Платформы, предотвращение мошенничества, исполнение требований законодательства.
4.7. Проведение аналитики и улучшение Сервисов на основе обезличенных данных.
4.8. Передача данных Авторам в объёме, необходимом для исполнения обязательств по Сделке.
5. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ
5.1. Обработка персональных данных осуществляется на следующих правовых основаниях:
- согласие субъекта персональных данных на обработку его персональных данных;
- исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (Пользовательское соглашение);
- исполнение Оператором требований законодательства Российской Федерации, включая налоговое, бухгалтерское, законодательство о противодействии легализации доходов;
- законный интерес Оператора, не нарушающий права и свободы субъекта персональных данных;
- осуществление правосудия, исполнение судебных актов.
5.2. Обработка специальных категорий персональных данных (раса, национальность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь) на Платформе не осуществляется, за исключением случаев, когда такие данные предоставлены Пользователем добровольно и явно, и только с его письменного согласия в случаях, предусмотренных ст. 10 Закона.
5.3. Обработка биометрических персональных данных на Платформе не осуществляется.
6. УСЛОВИЯ ОБРАБОТКИ И ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Оператор принимает все необходимые организационные и технические меры для защиты персональных данных Пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
6.2. Доступ к персональным данным Пользователя предоставляется только уполномоченным сотрудникам Оператора, которым эта информация необходима для выполнения трудовых функций, а также контрагентам Оператора, действующим на основании договоров поручения обработки в соответствии со ст. 6 Закона.
6.3. Передача персональных данных третьим лицам
Оператор вправе передавать персональные данные Пользователя следующим категориям получателей:
| Получатель | Цель передачи | Объём передаваемых данных |
|---|---|---|
| Авторы Контента | Исполнение обязательств по Сделке, предоставление доступа к Контенту, информирование о статусе заказа | Фамилия, имя, адрес электронной почты, данные об приобретённом Электронном билете |
| Платёжные провайдеры и банки | Обработка платежей, возврат средств, соблюдение финансового законодательства | Данные, необходимые для проведения платежа в соответствии с требованиями платёжных систем |
| Хостинг-провайдеры и технические партнёры | Обеспечение функционирования Платформы, техническая поддержка | Технические данные (IP, cookie, данные об устройстве) в обезличенном или агрегированном виде |
| Сервисы аналитики (Яндекс.Метрика и др.) | Анализ поведения пользователей, улучшение Сервисов | Обезличенные данные: cookie, IP-адрес, сведения о действиях на сайте |
| Уполномоченные государственные органы | Исполнение требований законодательства, рассмотрение запросов в рамках компетенции органов | Данные в объёме, предусмотренном запросом уполномоченного органа |
6.4. Оператор не передаёт персональные данные для целей, не связанных с исполнением Пользовательского соглашения, без отдельного информированного согласия Пользователя.
6.5. При использовании встроенных форм сбора данных Автор признаётся оператором персональных данных в смысле 152-ФЗ, а Компания выступает обработчиком по поручению Автора (п. 1.7.27 Пользовательского соглашения). В этом случае обработка персональных данных осуществляется в соответствии с политикой конфиденциальности Автора.
7. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Срок обработки персональных данных определяется целью обработки и составляет:
| Категория данных | Срок хранения |
|---|---|
| Данные, необходимые для исполнения Пользовательского соглашения | В течение срока действия Соглашения + 3 (три) года после его прекращения |
| Данные для исполнения налогового и бухгалтерского законодательства | В течение сроков, установленных НК РФ и Федеральным законом «О бухгалтерском учёте» (но не менее 5 лет) |
| Данные, обрабатываемые на основании согласия (маркетинг) | До отзыва согласия субъектом ПДн |
| Данные для обеспечения безопасности и предотвращения мошенничества | В течение 3 (трёх) лет с момента последнего действия Пользователя на Платформе |
| Обезличенные данные для аналитики | Бессрочно, в обезличенной форме |
7.2. По истечении указанных сроков персональные данные подлежат обезличиванию или уничтожению, если иное не предусмотрено федеральным законом.
7.3. Порядок уничтожения персональных данных:
- персональные данные на бумажных носителях уничтожаются с помощью шредера без возможности восстановления;
- персональные данные в электронной форме удаляются из информационных систем с применением программных средств, обеспечивающих невозможность восстановления.
8. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Пользователь вправе:
- получать информацию, касающуюся обработки его персональных данных, в том числе о наличии персональных данных у Оператора, целях, правовых основаниях и сроках обработки;
- требовать уточнения, блокирования или уничтожения своих персональных данных, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отзывать согласие на обработку персональных данных;
- требовать прекращения обработки персональных данных, за исключением случаев, предусмотренных ч. 2–11 ст. 6 Закона;
- обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
8.2. Для реализации прав, указанных в п. 8.1, Пользователь может:
- использовать функционал Личного кабинета на Платформе: просмотр, редактирование данных, управление подписками;
- направить письменный запрос на адрес: 344092, г. Ростов-на-Дону, ул. Творческая, д. 9, стр. 1, помещ. Н 13, ком. 38;
- направить запрос на электронную почту: support@boomstream.com с пометкой «Для отдела защиты персональных данных».
8.3. Срок рассмотрения запроса субъекта персональных данных составляет 30 календарных дней с момента получения Оператором запроса. В исключительных случаях срок может быть продлён не более чем на 30 дней с обязательным уведомлением субъекта о причинах продления.
8.4. Ответ на запрос направляется в форме, позволяющей подтвердить факт его получения, по выбору субъекта: в письменной форме по почтовому адресу или в электронной форме на адрес электронной почты, указанный в запросе.
9. ОТЗЫВ СОГЛАСИЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Согласие на обработку персональных данных может быть отозвано Пользователем в любой момент.
9.2. Способы отзыва согласия:
- направление письменного заявления по адресу: 344092, г. Ростов-на-Дону, ул. Творческая, д. 9, стр. 1, помещ. Н 13, ком. 38;
- направление заявления на электронную почту: support@boomstream.com;
- использование функционала Личного кабинета (при наличии технической возможности);
- направление заявления через форму обратной связи на Платформе с пометкой «Отзыв согласия на обработку ПДн».
9.3. В случае отзыва согласия Оператор вправе продолжить обработку персональных данных без согласия субъекта при наличии оснований, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона, например, для исполнения договора, защиты прав Оператора, исполнения требований законодательства.
9.4. Отзыв согласия на обработку персональных данных не влечёт автоматического расторжения Пользовательского соглашения. Для прекращения договорных отношений Пользователю необходимо расторгнуть Соглашение в порядке, предусмотренном разделом 1.1 Пользовательского соглашения.
10. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ С ИСПОЛЬЗОВАНИЕМ СТОРОННИХ СЕРВИСОВ
10.1. Яндекс.Метрика и Яндекс.Webmaster
На Платформе используется сервис веб-аналитики «Яндекс.Метрика» и «Яндекс.Webmaster», предоставляемый ООО «Яндекс» (Россия). Сервисы собирают обезличенные данные о посещениях Платформы с использованием технологий cookie для целей:
- анализа поведения пользователей;
- оценки эффективности работы Платформы;
- улучшения пользовательского опыта.
Пользователь может отказаться от сбора данных, установив соответствующее расширение для браузера: yandex.ru. Либо выключив маркетинговые и аналитические cookies в настройках формы согласия на Сайте.
10.2. Хостинг и аренда серверов
Технологическое размещение Платформы, баз данных, аренда и коллокейшн серверов, а также обеспечение интернет-подключения осуществляются на мощностях российского провайдера ООО «ОКЕЙ-ТЕЛЕКОМ» (ИНН 7715394014). Вся первичная обработка, систематизация и хранение персональных данных пользователей осуществляются на оборудовании данного провайдера в дата-центрах на территории г. Москвы, Российская Федерация.
10.3. Сети доставки контента
Для обеспечения высокой скорости работы Платформы, стабильного воспроизведения медиафайлов, видеотрансляций, кэширования и оперативной доставки контента пользователям, Оператор привлекает специализированные российские CDN-сервисы. В рамках выполнения этих технических задач кэширование и передача трафика могут осуществляться через инфраструктуру следующих компаний: ООО «Эджцентр» (ИНН 7714481097); ООО «СДН-ВИДЕО» (ИНН 7704764831). Данные сервисы осуществляют техническую обработку потоков данных без сбора личной идентификационной информации пользователей на серверах, расположенных в РФ.
10.4. Сервис почтовых рассылок (smtp.bz)
Для отправки пользователям сервисных, технических и системных писем (включая письма для подтверждения регистрации, авторизации и восстановления паролей) Оператор использует услуги почтового шлюза smtp.bz, принадлежащего индивидуальному предпринимателю Тутаеву А. М. (ОГРНИП 319325600010992, Россия). Для осуществления отправки на серверы данного сервиса передается адрес электронной почты пользователя. Обработка данных происходит строго на территории Российской Федерации.
10.5. Интернет-эквайринг, облачные кассы и операторы фискальных данных
Для обеспечения возможности онлайн-оплаты доступа к контенту (PPV) и проведения безопасных финансовых расчетов в тех случаях, когда Платформа выступает Агентом, сбор и обработка платежных данных Пользователей (номер карты, данные СБП, телефон, email для отправки кассового чека) осуществляются на стороне сертифицированных российских партнеров. Оператор не хранит на своих серверах полные данные банковских карт. Информационное и техническое взаимодействие для проведения платежей, фискализации операций, формирования и отправки кассовых чеков происходит через защищенные каналы связи следующих российских сервисов:
- ЮKassa: ООО «НКО "ЮМани"» (ИНН 7750005725);
- Т-Банк: АО «Т-Банк» (ИНН 7710140679);
- Продамус: ООО «Продамус» (ИНН 1215156909);
- Робокасса: ООО «РНКО "РИБ"» (ИНН 7750006479);
- АТОЛ Онлайн: ООО «АТОЛ Онлайн» (ИНН 7714414168);
- Первый ОФД: АО «Энергетические системы и коммуникации» (ИНН 7704843698).
10.6. Иные сервисы аналитики
Оператор вправе использовать иные сервисы аналитики и технические средства, собирающие обезличенные данные о использовании Платформы. Информация о таких сервисах размещается в разделе «Cookie» на Платформе.
10.7. Управление файлами cookie
Пользователь может управлять настройками cookie в своём браузере. Отключение cookie может ограничить функциональность Платформы.
11. ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. В соответствии с требованиями ст. 19 Закона и Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» Оператором определён Уровень защищённости персональных данных — УЗ-3 (для информационных систем, обрабатывающих персональные данные, не относящиеся к специальным категориям, при отсутствии угроз, связанных с утечкой по техническим каналам).
11.2. Реализуемые организационные меры защиты:
- назначение лица, ответственного за организацию обработки персональных данных;
- разработка и утверждение локальных нормативных актов по вопросам обработки и защиты ПДн;
- разграничение прав доступа сотрудников к персональным данным на основе ролевой модели;
- обучение и аттестация сотрудников, допущенных к обработке ПДн;
- регулярный контроль и аудит мер защиты.
11.3. Реализуемые технические меры защиты:
- применение средств криптографической защиты информации при передаче данных по открытым каналам связи (протокол TLS 1.2 и выше);
- регулярное резервное копирование баз данных с персональными данными;
- применение средств обнаружения и предотвращения несанкционированного доступа;
- обеспечение физической охраны помещений и технических средств обработки ПДн.
11.4. В случае инцидента, повлёкшего неправомерную передачу персональных данных, Оператор обязуется:
- в течение 24 часов направить первичное уведомление об инциденте;
- в течение 72 часов направить результаты внутреннего расследования и информацию о лицах, действия которых стали причиной инцидента;
- обеспечить взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) в соответствии с требованиями законодательства.
12. ИЗМЕНЕНИЕ ПРАВИЛ. ПРИМЕНИМОЕ ПРАВО
12.1. Оператор вправе вносить изменения и дополнения в настоящие Правила. При внесении изменений в актуальной редакции указывается дата последнего обновления.
12.2. Новая редакция Правил вступает в силу с момента её размещения на Платформе по адресу: https://boomstream.ru/privacy, если иное не предусмотрено в самой редакции.
12.3. Пользователь обязуется самостоятельно и своевременно знакомиться с актуальной редакцией Правил при посещении Платформы. Продолжение использования Платформы после вступления в силу новой редакции Правил означает согласие Пользователя с изменениями.
12.4. В случае несогласия со вступившими в силу изменениями Правил Пользователь обязан прекратить использование Платформы и расторгнуть Пользовательское соглашение в порядке, предусмотренном разделом 1.1 Пользовательского соглашения.
12.5. К настоящим Правилам применяется право и законодательство Российской Федерации. Все споры, связанные с обработкой персональных данных, разрешаются в порядке, предусмотренном Пользовательским соглашением и законодательством РФ.
13. РЕКВИЗИТЫ ОПЕРАТОРА
Общество с ограниченной ответственностью «ХВД»
- ОГРН: 1116193005202
- ИНН: 6161062312
- КПП: 616101001
- Юридический адрес: 344092, Ростовская область, г. Ростов-на-Дону, ул. Творческая, д. 9, стр. 1, помещ. Н 13
- Адрес для обращений субъектов ПДн: 344092, г. Ростов-на-Дону, ул. Творческая, д. 9, стр. 1, помещ. Н 13, ком. 38
- Телефон: +7 (863) 303-21-30
- Электронная почта для обращений по вопросам ПДн: support@boomstream.com
- Сайт: https://boomstream.ru
ПРИЛОЖЕНИЯ К ПРАВИЛАМ
Приложение № 1
СОГЛАСИЕ НА ПОЛУЧЕНИЕ ИНФОРМАЦИОННОЙ И РЕКЛАМНОЙ РАССЫЛКИ
Я, действуя свободно, своей волей и в своём интересе, настоящим даю письменное согласие Обществу с ограниченной ответственностью «ХВД» (ОГРН: 1116193005202, ИНН: 6161062312), адрес: 344092, Ростовская область, г. Ростов-на-Дону, ул. Творческая, д. 9, стр. 1, помещ. Н 13 (далее — «Оператор»), на получение информационной и рекламной рассылки.
1. Каналы связи:
Я согласен(на) на получение сообщений через:
- электронную почту (указанную при регистрации);
- мобильный телефон (SMS, мессенджеры);
- телефонные звонки (в разрешённое законодательством время);
- уведомления в Личном кабинете на Платформе.
2. Содержание рассылки:
- информация о новых функциях и обновлениях Платформы;
- рекламные предложения, акции и специальные условия;
- информационные материалы, связанные с использованием Сервисов;
- уведомления о статусе Сделок и технических работах.
3. Срок действия согласия:
Настоящее согласие действует до момента его отзыва мной.
4. Отзыв согласия:
Я вправе отозвать настоящее согласие в любой момент:
- перейдя по ссылке «Отписаться», содержащейся в каждом рекламном сообщении;
- изменив настройки уведомлений в Личном кабинете;
- направив заявление на электронную почту: support@boomstream.com;
- направив письменное заявление по адресу Оператора.
5. Правовые основания:
Настоящее согласие дано в соответствии со ст. 18 Федерального закона от 13.03.2006 № 38-ФЗ «О рекламе» и ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
6. Подтверждение:
Настоящее согласие даётся в форме, позволяющей подтвердить факт его получения. Я даю согласие путём проставления отметки в соответствующем поле на Платформе.
Приложение № 3
СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения
Настоящие Сведения разработаны во исполнение требований ст. 18.1, 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
2. Уровень защищённости персональных данных
На основании анализа угроз безопасности персональных данных Оператором определён Уровень защищённости — УЗ-3:
- обрабатываются персональные данные, не относящиеся к специальным категориям и биометрическим данным;
- в информационной системе не обрабатываются персональные данные, позволяющие получить информацию о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни;
- отсутствуют угрозы утечки персональных данных по техническим каналам связи, требующие применения средств защиты высшего уровня.
3. Актуальные угрозы безопасности
В информационной системе Платформы учитываются следующие типы актуальных угроз:
- угрозы несанкционированного доступа к персональным данным со стороны внешних нарушителей;
- угрозы, связанные с применением вредоносного программного обеспечения;
- угрозы, связанные с человеческим фактором (ошибки сотрудников, инсайдерские угрозы);
- угрозы, связанные с уязвимостями программного обеспечения.
4. Организационные меры защиты
| Мера | Описание |
|---|---|
| Назначение ответственного | Приказом Оператора назначено лицо, ответственное за организацию обработки ПДн |
| Локальные нормативные акты | Утверждены политики, регламенты и инструкции по обработке и защите ПДн |
| Разграничение прав доступа | Реализована ролевая модель доступа к персональным данным на основе принципа минимальных привилегий |
| Обучение сотрудников | Проводится регулярное обучение и аттестация сотрудников, работающих с ПДн |
| Аудит безопасности | Проводится периодический внутренний аудит мер защиты ПДн |
5. Технические меры защиты
| Мера | Описание |
|---|---|
| Криптографическая защита | Применение протокола TLS 1.2+ для шифрования данных при передаче по открытым каналам связи |
| Защита периметра | Использование межсетевых экранов и систем обнаружения вторжений |
| Резервное копирование | Ежедневное резервное копирование баз данных с хранением копий на защищённых носителях |
| Контроль доступа | Применение многофакторной аутентификации для доступа к административным интерфейсам |
| Мониторинг | Круглосуточный мониторинг событий безопасности и реагирование на инциденты |
6. Порядок реагирования на инциденты
При выявлении инцидента, повлёкшего неправомерную передачу персональных данных, Оператор:
- Немедленно принимает меры по локализации инцидента и минимизации вреда.
- В течение 24 часов уведомляет Роскомнадзор о факте инцидента в порядке, установленном Приказом Роскомнадзора от 01.09.2021 № 98.
- Проводит внутреннее расследование для установления причин и виновных лиц.
- В течение 72 часов направляет в Роскомнадзор результаты расследования и план мероприятий по устранению последствий.
- Уведомляет субъектов ПДн, чьи права могли быть нарушены, если это необходимо для защиты их прав.
7. Актуализация Сведений
Настоящие Сведения подлежат актуализации при:
- изменении состава обрабатываемых персональных данных;
- изменении угроз безопасности;
- изменении применяемых мер защиты;
- вступлении в силу новых требований законодательства.
Актуальная версия Сведений размещена по адресу: https://boomstream.ru/privacy/security