Документы

Политика обработки персональных данных

ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЕЙ САЙТА https://лавра.рф 1. Общие положения 1.1. Настоящая Политика в отношении обработки персональных данных пользователей сайта https://лавра.рф (далее — Политика) определяет порядок и условия обработки персональных данных, меры по обеспечению их безопасности, а также права субъектов персональных данных при использовании официального цифрового сервиса молитвенных обращений и добровольных пожертвований Свято-Троицкой Сергиевой Лавры. 1.2. Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», иными применимыми нормативными правовыми актами Российской Федерации, а также с учетом фактических функций сайта: подача записок о здравии и об упокоении, свечные приношения, молебны, панихиды, сорокоуст, добровольные пожертвования, личный кабинет, информационные страницы, формы обратной связи, уведомления о статусе обращений и использование файлов cookie. 1.3. Оператор персональных данных: Православная религиозная организация Ставропигиальный мужской монастырь Свято-Троицкая Сергиева Лавра Русской Православной Церкви (далее — Оператор, Лавра). 1.4. Реквизиты Оператора: адрес места нахождения: 141309, Московская область, город Сергиев Посад, территория Свято-Троицкая Сергиева Лавра; ОГРН 1035000008262; ИНН 5042016770; КПП 504201001; адрес электронной почты для обращений по вопросам обработки персональных данных: info@лавра.рф. 1.5. Политика применяется ко всем персональным данным, которые Оператор получает через сайт https://лавра.рф, включая его технический домен https://xn--80aaf8a1a.xn--p1ai, мобильные версии сайта, формы сайта, личный кабинет и иные страницы сайта, на которых размещена ссылка на настоящую Политику. 1.6. Политика не регулирует обработку персональных данных работников, служителей, трудников, паломников, участников мероприятий и иных лиц вне рамок использования сайта, если такая обработка осуществляется по отдельным внутренним документам Оператора. Если указанные лица используют сайт как пользователи, к такой обработке применяется настоящая Политика. 1.7. Отправляя формы сайта, создавая личный кабинет, передавая имена для молитвенного поминовения, оформляя свечное приношение или добровольное пожертвование, пользователь подтверждает, что ознакомился с настоящей Политикой. В случаях, когда закон требует согласия субъекта персональных данных, обработка осуществляется после получения такого согласия. 1.8. Оператор исходит из принципа минимизации: через сайт запрашиваются только те данные, которые необходимы для принятия и исполнения обращения, направления уведомления, обеспечения безопасности сайта, учета согласий и выполнения требований закона. Пользователю не следует указывать в формах сайта сведения, не требуемые формой, в том числе фамилии, отчества, адреса проживания, паспортные данные, подробные медицинские сведения, диагнозы, сведения о частной жизни и иные избыточные данные. 1.9. Передача молитвенного обращения, свечного приношения или пожертвования через сайт не является покупкой религиозной услуги и не предполагает гарантированного духовного или иного результата. Персональные данные используются исключительно для целей, указанных в настоящей Политике. 2. Термины и сокращения 2.1. В настоящей Политике используются следующие термины: • персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу; • субъект персональных данных — физическое лицо, к которому относятся персональные данные; • пользователь — любое лицо, посещающее сайт или использующее его формы и сервисы; • Оператор — лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, определяющее цели обработки, состав данных и действия с ними; • обработка персональных данных — любое действие или совокупность действий с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение; • автоматизированная обработка — обработка персональных данных с помощью средств вычислительной техники; • поручение обработки — привлечение третьего лица для обработки персональных данных по поручению Оператора на основании договора или иного законного основания; • cookie — небольшой фрагмент данных, который сайт может сохранять на устройстве пользователя для работы сайта, запоминания настроек, обеспечения безопасности и получения обезличенной или псевдонимизированной статистики; • специальные категории персональных данных — персональные данные, касающиеся, в частности, религиозных или философских убеждений, состояния здоровья и иных категорий, указанных в статье 10 Федерального закона № 152-ФЗ; • трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства иностранному органу власти, иностранному физическому лицу или иностранному юридическому лицу. 3. Принципы обработки персональных данных 3.1. Оператор обрабатывает персональные данные на законной и справедливой основе. 3.2. Обработка ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора. 3.3. Обрабатываются только персональные данные, которые отвечают целям обработки. Оператор не запрашивает и не стремится получать избыточные сведения о пользователях и лицах, чьи имена передаются для молитвенного поминовения. 3.4. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. 3.5. Оператор принимает разумные меры для обеспечения точности, достаточности и актуальности персональных данных в пределах целей обработки. В частности, имена, переданные для молитвенного поминовения, могут быть приведены к церковной форме в рамках исполнения обращения. 3.6. Хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки, если иной срок не установлен законом, договором, соглашением с пользователем или необходимостью защиты прав и законных интересов Оператора. 3.7. Персональные данные, переданные через формы молитвенных обращений, не публикуются на сайте, не передаются в рекламные системы и не используются для профилирования в рекламных целях. 3.8. Оператор обеспечивает конфиденциальность персональных данных и ограничивает доступ к ним кругом уполномоченных лиц, которым такой доступ необходим для выполнения их обязанностей. 4. Правовые основания и общие условия обработки 4.1. В зависимости от конкретной цели обработка персональных данных осуществляется на одном или нескольких правовых основаниях: • согласие субъекта персональных данных на обработку его персональных данных; • необходимость обработки для исполнения обращения пользователя, создания и использования личного кабинета, оформления добровольного пожертвования, направления уведомлений о статусе обращения, а также для совершения действий по инициативе пользователя до оформления обращения; • необходимость обработки для выполнения обязанностей, возложенных на Оператора законодательством Российской Федерации; • необходимость обработки для осуществления прав и законных интересов Оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъектов персональных данных; • иные основания, предусмотренные Федеральным законом № 152-ФЗ и применимыми нормативными правовыми актами. 4.2. Если в рамках молитвенного обращения пользователь добровольно указывает сведения, которые могут относиться к специальным категориям персональных данных, Оператор обрабатывает такие сведения только в минимально необходимом объеме и при наличии применимого законного основания: согласия субъекта персональных данных в форме, требуемой законом, и (или) иного основания, предусмотренного Федеральным законом № 152-ФЗ, включая основание для религиозной организации при обработке данных ее членов (участников) для достижения законных целей, предусмотренных учредительными документами, когда такое основание применимо. Такие данные не распространяются без отдельного письменного согласия субъекта персональных данных. 4.3. Обработка персональных данных осуществляется смешанным способом: с использованием средств автоматизации и без использования таких средств. Например, электронная заявка может быть принята через сайт, а затем распечатана и передана уполномоченным лицам Лавры для исполнения в установленном церковном порядке. 4.4. Оператор не принимает решений, порождающих юридические последствия для пользователя или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных. 4.5. Обязательные поля форм обозначаются на сайте. Если пользователь не предоставляет данные, необходимые для конкретной цели, Оператор может быть не в состоянии принять обращение, направить уведомление, оформить личный кабинет, подтвердить пожертвование или ответить на запрос. 5. Цели обработки, категории субъектов и перечень персональных данных 5.1. Общие сведения о целях обработки В настоящем разделе по каждой цели обработки приведены категории субъектов персональных данных, категории и перечень обрабатываемых персональных данных, цели обработки, правовые основания, способы обработки, сроки обработки и хранения. Если в конкретном пункте не указано иное, Оператор применяет смешанный способ обработки: автоматизированную обработку в информационных системах сайта и неавтоматизированную обработку на бумажных носителях при передаче обращений внутри Лавры. Возможные действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача уполномоченным лицам и лицам, действующим по поручению Оператора, блокирование, обезличивание, удаление и уничтожение. Порядок прекращения обработки и уничтожения по каждой цели: после достижения цели, отзыва согласия, получения требования о прекращении обработки или наступления иного законного основания Оператор прекращает обработку, удаляет, уничтожает или обезличивает соответствующие данные в порядке и сроки, указанные в разделе 10 настоящей Политики, если законодательство Российской Федерации не требует продолжить хранение. 5.2. Обеспечение работы сайта, безопасности, аналитики и cookie Категории субъектов: посетители сайта, пользователи форм сайта, пользователи личного кабинета. Категории и перечень персональных данных: IP-адрес, дата и время посещения, сведения о браузере и устройстве, user-agent, сведения об операционной системе, адреса посещенных страниц, источник перехода, технические идентификаторы, cookie, сведения о выбранных настройках cookie, сведения о событиях безопасности, ошибки сайта, обезличенные или псевдонимизированные аналитические события. Цели: обеспечение доступности и корректной работы сайта, защита от несанкционированного доступа, спама, автоматизированных злоупотреблений и технических атак, сохранение пользовательских настроек, анализ посещаемости и улучшение работы сайта. Правовые основания: согласие пользователя в части необязательных cookie и аналитики; законные интересы Оператора в обеспечении устойчивой и безопасной работы сайта; иные основания, предусмотренные законом. Способ обработки: автоматизированная обработка с использованием сайта, серверной инфраструктуры, технических журналов, cookie и аналитических инструментов; при анализе инцидентов возможна неавтоматизированная проверка журналов уполномоченными лицами. Сроки обработки и хранения: технические журналы безопасности и посещений — как правило, до 12 месяцев, если более длительное хранение не требуется для расследования инцидента, защиты прав или исполнения требований закона; cookie — в течение срока, указанного в настройках cookie или до удаления пользователем в браузере; аналитические отчеты — в обезличенном или агрегированном виде без ограничения срока, если по ним нельзя определить конкретного пользователя. 5.3. Регистрация, вход и использование личного кабинета Категории субъектов: пользователи, создающие или использующие личный кабинет. Категории и перечень персональных данных: адрес электронной почты, пароль в виде защищенного хэша или иной технический идентификатор доступа, имя пользователя или отображаемое имя при его указании, номер телефона при его указании, история обращений и пожертвований, настройки уведомлений, статусы заявок, сведения о согласиях и их версиях, дата и время регистрации и входов, IP-адрес, user-agent, технические журналы безопасности. Цели: создание учетной записи, идентификация пользователя при входе, сохранение истории обращений, направление уведомлений, восстановление доступа, защита личного кабинета и предотвращение несанкционированного доступа. Правовые основания: согласие пользователя; исполнение соглашения с пользователем о создании и использовании личного кабинета; законные интересы Оператора по обеспечению безопасности сервиса. Способ обработки: автоматизированная обработка в личном кабинете и информационных системах сайта; при обращениях пользователя или инцидентах безопасности возможна неавтоматизированная проверка уполномоченными лицами. Сроки обработки и хранения: до удаления личного кабинета пользователем или Оператором, а также в течение срока, необходимого для исполнения закона, урегулирования возможных претензий, подтверждения фактов согласия и защиты прав Оператора; журналы безопасности — как правило, до 12 месяцев, если больший срок не требуется законом или инцидентом. 5.4. Прием и исполнение молитвенных обращений: записки, свечи, молебны, панихиды, сорокоуст Категории субъектов: пользователи, направляющие обращение; лица, чьи имена передаются пользователем для молитвенного поминовения; законные представители несовершеннолетних, если они передают данные детей; иные лица, данные которых пользователь указывает в обращении. Категории и перечень персональных данных: контактные данные пользователя для оформления и уведомления (адрес электронной почты, номер телефона, имя пользователя при указании); церковные имена лиц, о которых подается обращение; вид обращения (о здравии, об упокоении, свечное приношение, молебен, панихида, сорокоуст и т.п.); церковные пометы в минимально необходимом объеме (например, младенца, отрока/отроковицы, болящего, воина, новопреставленного, священнослужителя); дата исполнения, выбранное место или святыня, сумма добровольного пожертвования при наличии, номер обращения, статус исполнения, технические сведения о создании обращения, версия согласия, IP-адрес и user-agent. Цели: принятие, учет, уточнение и передача обращения уполномоченным лицам Лавры для исполнения в установленном церковном порядке; направление пользователю уведомлений о статусе; предотвращение ошибок, дублирования и злоупотреблений; хранение подтверждений принятия обращения и согласий. Правовые основания: согласие пользователя, а в случаях, когда это требуется, согласие соответствующего субъекта персональных данных; совершение действий по инициативе пользователя; уставные цели религиозной организации в той мере, в какой такое основание применимо к конкретным данным и субъектам; законные интересы Оператора по организации учета обращений и защите прав; исполнение требований закона; иные основания, предусмотренные Федеральным законом № 152-ФЗ. Способ обработки: смешанная обработка, включая прием обращения через сайт, учет в информационной системе, формирование и печать списков, передачу уполномоченным лицам Лавры для исполнения обращения и последующее уничтожение бумажных носителей после достижения цели обработки. Сроки обработки и хранения: данные обращения хранятся до исполнения обращения и далее в течение срока, необходимого для подтверждения факта приема, статуса исполнения, учета пожертвований, урегулирования возможных вопросов пользователя и защиты прав Оператора, как правило, не более 3 лет после исполнения обращения, если более длительный срок не предусмотрен законом или связан с учетными документами. Бумажные распечатки обращений уничтожаются после достижения цели обработки в порядке, установленном Оператором. 5.5. Сервис «Кто мой святой?» и информационные справочные функции Категории субъектов: пользователи, обращающиеся к справочным функциям сайта. Категории и перечень персональных данных: имя, данное при крещении, дата рождения или выбранные пользователем день и месяц, результат справочного подбора, технические данные посещения страницы, cookie и журналы безопасности. Если обработка осуществляется исключительно в браузере пользователя и данные не передаются на сервер Оператора, Оператор не сохраняет такие данные, кроме стандартных технических журналов посещения страницы. Цели: предоставление справочной информации пользователю, улучшение работы справочного сервиса, защита сайта от злоупотреблений. Правовые основания: согласие пользователя; совершение действий по инициативе пользователя; законные интересы Оператора по обеспечению работы сайта. Способ обработки: преимущественно автоматизированная обработка при работе справочного сервиса; если расчет выполняется в браузере пользователя без передачи данных на сервер Оператора, Оператор обрабатывает только стандартные технические журналы посещения страницы. Сроки обработки и хранения: если данные передаются на сервер — на период предоставления результата и не более 30 дней, за исключением технических журналов безопасности, которые могут храниться в сроки, указанные в пункте 5.2 настоящей Политики. 5.6. Добровольные пожертвования и платежные операции Категории субъектов: пользователи, оформляющие добровольное пожертвование; плательщики; пользователи, по обращениям которых оформлено пожертвование. Категории и перечень персональных данных: сумма и назначение пожертвования, контактные данные для подтверждения и уведомления (адрес электронной почты, телефон при указании), номер обращения или пожертвования, дата и время операции, статус платежа, идентификатор операции, сведения, переданные платежным оператором в необходимом для подтверждения операции объеме, технические сведения о создании платежной формы. Реквизиты банковской карты, CVV/CVC-код и иные полные платежные данные банковской карты Оператором не запрашиваются и не хранятся; такие данные обрабатываются платежными организациями и банками в соответствии с их документами и требованиями платежной безопасности. Цели: оформление и учет добровольного пожертвования, подтверждение платежа, возврат ошибочного платежа при наличии оснований, направление уведомлений, бухгалтерский и иной обязательный учет, защита прав и законных интересов Оператора и пользователя. Правовые основания: согласие пользователя; совершение действий по инициативе пользователя; исполнение требований законодательства Российской Федерации; законные интересы Оператора по учету пожертвований и урегулированию возможных вопросов. Способ обработки: автоматизированная обработка платежной формы, статусов и уведомлений; неавтоматизированная обработка учетных сведений возможна для бухгалтерского, налогового и иного обязательного учета, а также для рассмотрения вопросов пользователя. Сроки обработки и хранения: платежные и учетные сведения хранятся в сроки, установленные законодательством о бухгалтерском, налоговом и ином обязательном учете, а также в течение сроков исковой давности и защиты прав Оператора; сведения, не требующие обязательного хранения, удаляются или обезличиваются после достижения цели обработки. 5.7. Обращения в поддержку и переписка с пользователями Категории субъектов: пользователи, направляющие вопросы, жалобы, просьбы, отзывы или иные сообщения Оператору. Категории и перечень персональных данных: имя или обращение пользователя, адрес электронной почты, телефон при указании, содержание сообщения, сведения о заявке или обращении, приложенные файлы, технические данные отправки сообщения, дата и время переписки, сведения о результате рассмотрения. Цели: прием и рассмотрение обращений, подготовка ответа, подтверждение факта обращения и ответа, улучшение работы сайта, урегулирование возможных споров. Правовые основания: согласие пользователя; совершение действий по инициативе пользователя; законные интересы Оператора в рассмотрении обращений и защите прав; исполнение требований закона, если обращение содержит юридически значимое требование. Способ обработки: смешанная обработка, включая получение сообщения через сайт или электронную почту, регистрацию и хранение переписки, рассмотрение обращения уполномоченными лицами и подготовку ответа. Сроки обработки и хранения: как правило, до 3 лет после завершения переписки или дольше, если обращение связано с пожертвованием, учетными документами, претензией, проверкой, спором или иной обязанностью хранения. 5.8. Уведомления о статусе обращений и сервисные сообщения Категории субъектов: пользователи, оформившие обращение, пожертвование или личный кабинет. Категории и перечень персональных данных: адрес электронной почты, номер телефона при указании, идентификатор пользователя, номер обращения или пожертвования, статус, дата и время отправки сообщения, сведения о доставке сообщения. Цели: направление сервисных уведомлений о регистрации, исполнении, изменении статуса обращения, восстановлении доступа, безопасности личного кабинета, подтверждении пожертвования или иной технической информации, необходимой для использования сайта. Правовые основания: совершение действий по инициативе пользователя; исполнение соглашения с пользователем; законные интересы Оператора; согласие пользователя, когда оно требуется законом. Способ обработки: автоматизированная отправка сервисных сообщений средствами сайта, электронной почты, SMS, push-уведомлений или иных подключенных каналов связи; при сбоях доставки возможна проверка журналов уполномоченными лицами. Сроки обработки и хранения: до достижения цели уведомления и далее в составе истории обращения или журналов отправки в течение сроков, указанных для соответствующей цели обработки. 5.9. Информационные и иные рассылки Категории субъектов: пользователи, отдельно выразившие согласие на получение соответствующих сообщений. Категории и перечень персональных данных: адрес электронной почты, номер телефона при указании, имя при указании, сведения о согласии на рассылку, дата и время подписки, IP-адрес, user-agent, выбранные темы сообщений, история отправки и отказов от рассылки. Цели: направление сообщений о новостях Лавры, информационных материалах, изменениях в работе сайта, благотворительных и просветительских инициативах, если пользователь отдельно согласился на получение таких сообщений. Рекламные сообщения, если они используются, направляются только при наличии предварительного согласия адресата в соответствии с законодательством о персональных данных и рекламе. Правовые основания: отдельное согласие пользователя; законные интересы Оператора по направлению нерекламных сервисных и организационных уведомлений, если они необходимы для исполнения обращения или работы личного кабинета. Способ обработки: автоматизированная обработка списков подписки, отправки сообщений и учета отказов; содержание и параметры рассылки могут настраиваться уполномоченными лицами Оператора. Сроки обработки и хранения: до отзыва согласия или отказа от рассылки; журналы согласий и отказов хранятся в течение срока, необходимого для подтверждения законности рассылки и защиты прав Оператора. 5.10. Учет согласий, отказов, отзывов и юридически значимых действий Категории субъектов: пользователи, давшие согласие, отозвавшие согласие, направившие требование, принявшие условия сайта или совершившие иное юридически значимое действие. Категории и перечень персональных данных: идентификатор пользователя или обращения, дата и время действия, версия текста согласия или документа, отметка о согласии или отказе, IP-адрес, user-agent, адрес электронной почты или иной контакт, технические сведения о подтверждении действия. Цели: подтверждение факта получения согласия, исполнения требований закона, учета отзывов и отказов, защиты прав и законных интересов Оператора и пользователей. Правовые основания: исполнение требований закона; законные интересы Оператора; согласие пользователя в случаях, когда оно требуется. Способ обработки: автоматизированная фиксация и хранение фактов согласий, отказов и иных юридически значимых действий; неавтоматизированное рассмотрение отзывов, требований и спорных ситуаций уполномоченными лицами Оператора. Сроки обработки и хранения: в течение срока действия согласия и далее в течение срока, необходимого для подтверждения правомерности обработки, рассмотрения обращений, проверок и защиты прав Оператора. 6. Специальные категории персональных данных и данные третьих лиц 6.1. Оператор не ставит целью сбор специальных категорий персональных данных. Вместе с тем отдельные церковные пометы или краткий контекст молитвенного обращения, если они позволяют определить конкретное живое лицо, при определенных обстоятельствах могут относиться к сведениям о религиозных убеждениях или состоянии здоровья. 6.2. Оператор просит пользователей не указывать подробные сведения о состоянии здоровья, диагнозы, сведения об интимной жизни, семейные обстоятельства, паспортные данные, адреса, фамилии, отчества и иные избыточные сведения. Для исполнения церковного обращения достаточно имени в церковной форме и минимальной церковной пометы, если она действительно нужна. 6.3. Специальные категории персональных данных обрабатываются только при наличии законного основания, в минимально необходимом объеме, без публикации и без передачи неопределенному кругу лиц. Доступ к таким данным предоставляется только уполномоченным лицам, которым он необходим для приема, учета и исполнения обращения. 6.4. Если передаваемые сведения позволяют идентифицировать живое лицо и относятся к специальным категориям персональных данных, пользователь должен передавать их только при наличии законного основания, в том числе письменного согласия субъекта персональных данных в случаях, когда оно требуется Федеральным законом № 152-ФЗ. Сайт не предназначен для передачи диагнозов, подробных медицинских сведений, сведений об интимной жизни и иных избыточных данных; при получении таких сведений Оператор вправе удалить, обезличить, сократить или не учитывать их при исполнении обращения. 6.5. Пользователь, указывающий персональные данные другого живого лица, подтверждает, что действует правомерно: получил согласие соответствующего лица, является его законным представителем либо имеет иное законное основание для передачи данных Оператору. Если пользователь передает данные несовершеннолетнего, он подтверждает наличие полномочий законного представителя или иного законного основания. 6.6. Сведения об усопших, передаваемые для поминовения, обрабатываются Оператором с уважением к частной и семейной жизни заявителя и иных лиц и не публикуются. Если сведения об усопшем позволяют раскрыть персональные данные живых лиц, к таким сведениям применяются меры конфиденциальности, предусмотренные настоящей Политикой. 6.7. Если пользователь по ошибке передал избыточные или явно не требуемые сведения, Оператор вправе удалить, обезличить, сократить или не учитывать такие сведения при исполнении обращения. 6.8. Оператор не осуществляет обработку биометрических персональных данных пользователей сайта в целях идентификации личности. 7. Файлы cookie и аналитические технологии 7.1. Сайт использует технические cookie, необходимые для работы сайта, сохранения пользовательских настроек, функционирования корзины или формы обращения, авторизации в личном кабинете, защиты от злоупотреблений и обеспечения безопасности. 7.2. Сайт может использовать аналитические cookie и сходные технологии для понимания того, какие страницы посещаются, какие технические ошибки возникают и как улучшить сервис. Оператор не передает в аналитические системы содержание молитвенных обращений, имена для поминовения, текст просьб, сведения о здоровье и иные чувствительные данные. 7.3. Пользователь может изменить настройки cookie в браузере, удалить ранее сохраненные cookie или ограничить их использование. Отключение технических cookie может привести к некорректной работе отдельных функций сайта, включая личный кабинет, корзину, формы обращения и сохранение настроек. 7.4. Если на сайте размещено отдельное cookie-уведомление или панель управления cookie, положения такого уведомления применяются совместно с настоящей Политикой в части более специальных правил использования cookie и аналитических технологий при условии, что они не снижают уровень защиты персональных данных пользователя. 8. Передача персональных данных и поручение обработки 8.1. Оператор не продает персональные данные пользователей, не передает их неопределенному кругу лиц и не публикует данные, полученные через формы молитвенных обращений, без отдельного законного основания и согласия, если такое согласие требуется. 8.2. Внутри Лавры персональные данные могут быть доступны ограниченному кругу уполномоченных лиц, включая сотрудников, служителей, трудников и иных лиц, участвующих в приеме, печати, передаче, исполнении обращений, обработке пожертвований, техническом сопровождении сайта, поддержке пользователей и обеспечении безопасности, при условии соблюдения конфиденциальности. 8.3. Для достижения целей обработки Оператор может привлекать третьих лиц, действующих по поручению Оператора или самостоятельно в пределах своей зоны ответственности: • хостинг-провайдеров, администраторов серверной инфраструктуры, разработчиков и технических подрядчиков сайта; • поставщиков сервисов электронной почты, SMS, push-уведомлений и иных средств связи; • платежные организации, банки, платежные агрегаторы и иные участники расчетов; • поставщиков сервисов аналитики, мониторинга доступности, антиспама, защиты от атак и иных средств информационной безопасности; • аудиторов, консультантов, представителей и иных лиц, если передача необходима для защиты прав и законных интересов Оператора или исполнения требований закона; • государственные органы, суды, уполномоченные органы и иные лица — в случаях и порядке, предусмотренных законодательством Российской Федерации. 8.4. При поручении обработки персональных данных третьему лицу Оператор определяет перечень действий с персональными данными, цели обработки, обязанность соблюдения конфиденциальности и принятия необходимых мер по защите персональных данных. Лицо, осуществляющее обработку по поручению Оператора, не вправе использовать персональные данные для собственных целей, если иное не предусмотрено законом и документами такого лица как самостоятельного оператора. 8.5. Платежные организации и банки могут выступать самостоятельными операторами персональных данных в части обработки платежных данных. Пользователю рекомендуется ознакомиться с документами соответствующей платежной организации перед совершением платежа. 8.6. Сайт может содержать ссылки на внешние ресурсы, включая официальные страницы Лавры или связанные страницы в социальных сетях и мессенджерах. При переходе по внешней ссылке дальнейшая обработка персональных данных осуществляется владельцем соответствующего ресурса по его документам. Настоящая Политика применяется только к обработке, осуществляемой Оператором на сайте. 9. Локализация и трансграничная передача персональных данных 9.1. При сборе персональных данных граждан Российской Федерации, в том числе через сеть Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение и извлечение таких персональных данных с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, прямо предусмотренных законодательством Российской Федерации. 9.2. На дату утверждения настоящей Политики Оператор исходит из того, что персональные данные, собираемые через формы сайта, не передаются за пределы Российской Федерации, за исключением случаев самостоятельного перехода пользователя на внешние ресурсы, которые не являются частью сайта Оператора. 9.3. Если для работы сайта или отдельных функций потребуется трансграничная передача персональных данных, Оператор до начала такой передачи выполнит требования статьи 12 Федерального закона № 152-ФЗ, включая оценку принимающей стороны, направление уведомления в уполномоченный орган и отражение соответствующей информации в настоящей Политике или ином документе, доступном пользователю. 10. Хранение, прекращение обработки и уничтожение персональных данных 10.1. Персональные данные хранятся в электронной форме в информационных системах Оператора и (или) привлекаемых им лиц, а также, когда это необходимо для исполнения молитвенного обращения, на бумажных носителях. 10.2. Сроки хранения определяются целями обработки, требованиями законодательства, сроками действия согласий, сроками хранения учетных документов, сроками исковой давности, необходимостью подтверждения факта согласия, исполнения обращения, совершения пожертвования, рассмотрения обращений пользователя и защиты прав Оператора. 10.3. Обработка персональных данных прекращается при достижении целей обработки, истечении срока действия согласия, отзыве согласия, получении требования о прекращении обработки, выявлении неправомерной обработки, ликвидации сайта или наступлении иных оснований, предусмотренных законом. 10.4. При достижении цели обработки или утрате необходимости в обработке Оператор прекращает обработку соответствующих персональных данных и уничтожает либо обезличивает их в срок не более 30 дней с даты достижения цели обработки, если иной срок не установлен Федеральным законом № 152-ФЗ, другим законом, договором, соглашением с субъектом персональных данных или если у Оператора имеется иное законное основание для продолжения обработки. 10.5. При отзыве согласия Оператор прекращает обработку соответствующих персональных данных и уничтожает их в срок не более 30 дней с даты поступления отзыва, если сохранение больше не требуется для целей обработки и нет иного законного основания для продолжения обработки. При получении требования о прекращении обработки Оператор прекращает обработку в срок не более 10 рабочих дней с даты получения требования; этот срок может быть продлен не более чем на 5 рабочих дней при направлении мотивированного уведомления субъекту персональных данных. Если немедленное уничтожение невозможно по техническим причинам, Оператор блокирует данные и обеспечивает их уничтожение в установленном законом порядке. 10.6. Уничтожение персональных данных осуществляется способами, исключающими дальнейшее восстановление содержания персональных данных, в том числе путем удаления записей из информационных систем, уничтожения бумажных носителей, обезличивания или перезаписи резервных копий в рамках установленного цикла хранения резервных копий. 10.7. Если уничтожение персональных данных в предусмотренный законом срок невозможно, Оператор блокирует такие персональные данные и обеспечивает их уничтожение в срок не более шести месяцев, если иной срок не установлен федеральными законами. 11. Права субъектов персональных данных 11.1. Субъект персональных данных имеет право: • получать информацию, касающуюся обработки его персональных данных, в порядке, предусмотренном законодательством Российской Федерации; • требовать уточнения персональных данных, их блокирования или уничтожения, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; • отозвать согласие на обработку персональных данных; • направить требование о прекращении обработки персональных данных; • отказаться от рассылок и иных сообщений, получение которых основано на согласии; • обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в суд; • осуществлять иные права, предусмотренные законодательством Российской Федерации. 11.2. Реализация прав субъекта персональных данных не должна нарушать права и законные интересы других лиц, включая лиц, чьи данные содержатся в молитвенных обращениях, переписке, учетных документах или иной информации, связанной с несколькими субъектами персональных данных. 11.3. Отзыв согласия не влияет на законность обработки, осуществленной до получения отзыва, и не препятствует дальнейшей обработке, если такая обработка допускается законом без согласия субъекта персональных данных. 12. Порядок направления запросов и отзыва согласия 12.1. Пользователь или иной субъект персональных данных может направить обращение по вопросам обработки персональных данных на адрес электронной почты info@лавра.рф с темой письма «Персональные данные», «Отзыв согласия», «Уточнение персональных данных» или иной понятной темой, позволяющей определить содержание обращения. Также обращение может быть направлено по почтовому адресу Оператора: 141309, Московская область, город Сергиев Посад, территория Свято-Троицкая Сергиева Лавра. 12.2. Запрос должен позволять Оператору идентифицировать заявителя и установить факт обработки его персональных данных. В зависимости от характера запроса Оператор может попросить указать адрес электронной почты или телефон, номер обращения, дату обращения, сведения о личном кабинете, а также иные данные, необходимые для проверки личности и защиты персональных данных от раскрытия третьим лицам. 12.3. Если запрос направляет представитель субъекта персональных данных, он должен подтвердить свои полномочия. Если запрос касается персональных данных несовершеннолетнего, Оператор вправе запросить подтверждение полномочий законного представителя. 12.4. Оператор рассматривает запросы субъектов персональных данных в сроки, установленные Федеральным законом № 152-ФЗ. Как правило, информация о наличии персональных данных или мотивированный отказ предоставляются в течение 10 рабочих дней с даты получения запроса; этот срок может быть продлен не более чем на 5 рабочих дней при направлении мотивированного уведомления. Уточнение неполных, неточных или неактуальных данных, а также уничтожение незаконно полученных или не требующихся для заявленной цели данных осуществляется в сроки, предусмотренные законом. 12.5. Отзыв согласия или требование о прекращении обработки должно содержать сведения, позволяющие определить, какие персональные данные и какая обработка подлежат прекращению. Оператор вправе продолжить обработку персональных данных после отзыва согласия, если имеются законные основания, предусмотренные законодательством Российской Федерации. 12.6. Для отказа от информационной или рекламной рассылки пользователь может использовать ссылку отписки в сообщении, настройки личного кабинета или направить обращение на info@лавра.рф. Обработка персональных данных в целях прямого продвижения прекращается по требованию субъекта в порядке, предусмотренном законом. 13. Меры по обеспечению безопасности персональных данных 13.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий. 13.2. К таким мерам, в частности, относятся: • назначение лиц, ответственных за организацию обработки персональных данных и обеспечение их безопасности; • издание и применение локальных актов по вопросам обработки и защиты персональных данных; • ограничение и разграничение доступа к персональным данным по принципу необходимости доступа; • использование учетных записей, паролей, журналирования действий и иных средств контроля доступа; • защита каналов передачи данных, в том числе использование защищенного соединения на сайте; • резервное копирование и восстановление данных в необходимых случаях; • контроль действий лиц, имеющих доступ к персональным данным; • обучение и информирование лиц, непосредственно осуществляющих обработку персональных данных; • оценка и актуализация мер безопасности с учетом характера угроз, объема и категорий обрабатываемых данных; • реагирование на инциденты, связанные с персональными данными, и уведомление уполномоченных органов и субъектов персональных данных в случаях и порядке, предусмотренных законом. 13.3. Оператор не хранит полные реквизиты банковских карт пользователей. Платежные данные обрабатываются платежными организациями и банками с применением предусмотренных ими мер безопасности. 13.4. Оператор принимает меры к тому, чтобы содержание молитвенных обращений, имена и церковные пометы не передавались в аналитические, рекламные и иные необязательные сервисы. 14. Персональные данные, разрешенные для распространения 14.1. Оператор не предполагает распространение персональных данных, полученных через формы сайта, среди неопределенного круга лиц. 14.2. Если в будущем Оператору потребуется разместить на сайте отзыв, благодарность, историю пожертвования, фотографию, имя благотворителя или иную информацию, позволяющую определить субъекта персональных данных, такое размещение осуществляется только при наличии отдельного согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформленного в порядке, предусмотренном Федеральным законом № 152-ФЗ. 14.3. Субъект персональных данных вправе установить запреты и условия на передачу и обработку персональных данных, разрешенных для распространения, а также отозвать соответствующее согласие в порядке, предусмотренном законом. 15. Заключительные положения 15.1. Оператор обеспечивает неограниченный доступ к настоящей Политике путем размещения ее актуальной редакции на сайте https://лавра.рф на страницах, где осуществляется сбор персональных данных, а также в разделе документов сайта. 15.2. Оператор вправе изменять настоящую Политику при изменении законодательства, функций сайта, состава обрабатываемых персональных данных, технических решений, подрядчиков или внутренних процессов обработки. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если в самой Политике не указан иной срок. 15.3. Пользователям рекомендуется периодически проверять актуальную редакцию Политики. Продолжение использования сайта после размещения новой редакции Политики означает ознакомление пользователя с новой редакцией в части, применимой к дальнейшему использованию сайта. Если для новой цели обработки требуется отдельное согласие, Оператор получает такое согласие отдельно. 15.4. По всем вопросам, связанным с настоящей Политикой и обработкой персональных данных, пользователь может обратиться к Оператору по адресу электронной почты info@лавра.рф. 15.5. Настоящая Политика действует бессрочно до замены новой редакцией.