Политика обработки персональных данных ООО «ВИМ»
1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее – Политика) Общества с ограниченной
ответственностью «Вотифмейлинг» (ООО «ВИМ» ИНН 9705067931, 105064, г. Москва, Нижний Сусальный пер., д. 5
стр. 4, помещ. I / комн. 16, далее - Оператор) разработана в соответствии с Рекомендациями по составлению
документа, определяющего политику оператора в отношении обработки персональных данных, в порядке,
установленным Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет основные
принципы, цели, порядок и условия обработки, объем и категории обрабатываемых ПДн, категории субъектов ПДн,
ответы на запросы субъектов на доступ к ПДн, меры, реализуемые для обеспечения безопасности ПДн при их
обработке Оператором.
1.2. Положения настоящей Политики обязательны для выполнения всеми работниками Оператора и служат
основой
для разработки нормативных документов Оператора, регламентирующих порядок обработки персональных данных
работников, клиентов и иных субъектов персональных данных.
1.3. Оператор включен в «Реестр операторов, осуществляющих обработку персональных данных», под
регистрационным номером 77-18-011187.
1.4. Политика является общедоступной и размещается на официальном сайте Оператора в сети Интернет (для
доступа неограниченного круга лиц).
1.5. Ознакомление работников Оператора с настоящей Политикой осуществляется в соответствии с внутренним
порядком Оператора.
2. Термины и определения
— персональные данные (далее также – ПДн) – любая информация, относящаяся к прямо или косвенно
определенному
или определяемому физическому лицу (субъекту персональных данных);
— обработка персональных данных – любое действие (операция) или совокупность действий (операций),
совершаемых с использованием средств автоматизации или без использования таких средств, с персональными
данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование,
удаление, уничтожение персональных данных;
— оператор персональных данных (далее также – Оператор) – ООО «ВИМ», как юридическое лицо,
самостоятельно
или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также
определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия
(операции), совершаемые с персональными данными;
— автоматизированная обработка персональных данных – обработка персональных данных с помощью
средств
вычислительной техники;
— распространение персональных данных – действия, направленные на раскрытие персональных данных
неопределенному кругу лиц;
— предоставление персональных данных – действия, направленные на раскрытие персональных данных
определенному
лицу или определенному кругу лиц;
— блокирование персональных данных – временное прекращение обработки персональных данных (за
исключением
случаев, если обработка необходима для уточнения персональных данных);
— уничтожение персональных данных – действия, в результате которых становится невозможным
восстановить
содержание персональных данных в информационной системе персональных данных и (или) в результате которых
уничтожаются материальные носители персональных данных;
— обезличивание персональных данных – действия, в результате которых становится невозможным без
использования дополнительной информации определить принадлежность персональных данных конкретному субъекту
персональных данных;
— информационная система персональных данных – совокупность содержащихся в базах данных
персональных данных
и обеспечивающих их обработку информационных технологий и технических средств;
— конфиденциальность персональных данных – обязанность Оператора не раскрывать третьим лицам и не
распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено
федеральным законом.
3. Цели и принципы обработки ПДн
3.1. ПДн обрабатываются Оператором в следующих целях:
— обеспечение соблюдения нормативных правовых актов Российской Федерации, локальных нормативных
актов
Оператора;
— осуществление и выполнение функций, полномочий и обязанностей, возложенных законодательством
Российской
Федерации на Оператора.
— осуществление прав и законных интересов Оператора в рамках осуществления видов деятельности,
предусмотренных Уставом и иными локальными нормативными актами Оператора, или третьих лиц либо достижения
общественно значимых целей;
— регулирование трудовых отношений с работниками Оператора (содействие в трудоустройстве, обучение
и
продвижение по службе, обеспечение безопасности, контроль количества и качества исполнения обязанностей
работников в рамках исполнения обязанностей по заключенному с ними трудовым договорам, социальное
обеспечение работников, обеспечение сохранности имущества, организация коммуникаций, организация деловых
поездок, организация питания, прохождения медицинских осмотров, участия в корпоративных мероприятиях,
предоставление налоговых вычетов);
— предоставление сведений в банк для оформления банковской карты и перечисления на нее заработной
платы;
— оформление договоров ДМС;
— организация внутри объектового и пропускного режима;
— начисления заработной платы работников;
— наделение работников определенными полномочиями (оформление доверенностей);
— подготовка, заключение и исполнение договоров, исполнения обязательств, предусмотренных
договорами,
заключаемыми Оператором с контрагентами;
— предоставление пользователям возможности по передаче отчетности по телекоммуникационным каналам
связи;
— предоставление пользователям возможности пользоваться сервисами: электронная отчетность,
электронный
документооборот и пр.;
— применение и хранение сертификатов ключей проверки ЭП, изготовление списка отзывов сертификатов,
ведение
реестра выданных и аннулированных сертификатов;
— создание и поддержание положительного имиджа Оператора;
— рекламные акции;
— иные законные цели.
3.2. Принципы обработки ПДн
Обработка ПДн осуществляется на основе общих принципов:
— законности заранее определенных конкретных целей и способов обработки ПДн;
— обеспечения надлежащей защиты ПДн;
— соответствия целей обработки персональных целям, заранее определенным и заявленным при сборе
ПДн;
— соответствия объема, характера и способов обработки ПДн целям обработки ПДн;
— достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн,
избыточных по
отношению к целям, заявленным при сборе ПДн;
— хранения ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем того
требуют цели
обработки;
— уничтожения ПДн по достижении целей обработки, если срок хранения ПДн не установлен
законодательством РФ;
— обеспечения конфиденциальности и безопасности обрабатываемых ПДн.
3.3. Правовые основания обработки ПДн:
Трудовой кодекс Российской Федерации, Налоговый кодекс Российской Федерации, Федеральный закон от
01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного
страхования», Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», Положение о воинском учете,
утвержденное Постановлением Правительства РФ от 27.11.2006 № 719, Федеральный закон от 06.04.2011 № 63-ФЗ
«Об электронной подписи», Договоры, заключаемые между оператором и субъектом ПДн, согласие на обработку ПДн,
иные федеральные законы и нормативно-правовые акты.
4. Категории субъектов, ПДн которых обрабатываются Оператором
Оператор обрабатывает персональные данные следующих категорий субъектов:
— работников, в том числе уволенных и потенциальных работников Оператора (кандидаты на замещение
вакантных
должностей), а также членов их семей;
— физических лиц - клиентов юридических лиц, обработка которых производится Оператором в рамках
договорных
отношений c контрагентами;
— физических лиц – клиентов Оператора;
— плательщиков налога на профессиональный доход (самозанятые лица), в рамках заключенных
договорных
отношений;
— индивидуальных предпринимателей;
— представителей, бенефициарных владельцев и выгодоприобретателей клиентов, партнеров,
бенефициарных
владельцев Оператора;
— аффилированных лиц Оператора;
— контактных лиц и представителей контрагентов Оператора;
— привлечённых для оказания услуг Оператору и/или клиентам специалистов;
— клиентов, посетителей и пользователей сайта и иных информационных ресурсов Оператора;
— клиентов иных операторов персональных данных, с которыми у Оператора заключены договоры и по
поручению
которых, Оператор осуществляет обработку персональных данных;
— посетителей офисов Оператора;
— иных субъектов персональных данных, выразивших согласие на обработку Оператором их персональных
данных или
субъектов персональных данных, сведения о которых необходимы для исполнения требований законодательства
Российской Федерации (далее также – РФ).
5. Перечень ПДн, обрабатываемых в ООО «ВИМ»
5.1. Перечень ПДН определяется в соответствии с законодательством Российской Федерации и локальными
нормативными актами Оператора.
5.2. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических
взглядов, религиозных или философских убеждений, интимной жизни, а также биометрических ПДн Оператором не
осуществляется.
5.3. Обработка специальных категорий персональных данных, касающихся сведений о состоянии здоровья,
осуществляется согласно требованиям законодательства РФ. Обработка указанной категории ПДн может
осуществляться в рамках кадровой работы в соответствии с требованиями пункта 2.3 части 2 статьи 10
Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
— для работников Оператора:
фамилия, имя, отчество (в т.ч. прежние), пол, дата и место рождения, данные документа, удостоверяющего
личность, фотография, гражданство, данные миграционной карты и/или данные документа, подтверждающего право
иностранного гражданина или лица без гражданства на пребывание (проживание) в Российской Федерации, адрес
места жительства (регистрации) или места пребывания, дата регистрации по месту жительства или по месту
пребывания, ИНН, номер телефона (факса), адрес электронной почты, почтовый адрес, сведения о трудовой
деятельности, сведения о семейном положении, в том числе сведения, указываемые в карточке по форме Т2,
сведения о судимости (обрабатываются только в случаях, предусмотренных законодательством РФ), сведения из
реестра дисквалифицированных лиц (обрабатываются в случаях, предусмотренных законодательством РФ), сведения
о водительском удостоверении, сведения о заработной плате и иных доходах (надбавка в фиксированном размере,
материальная помощь, единовременные выплаты и вознаграждения, оплата листов нетрудоспособности, оплата
отпуска), сведения, указанные в оригиналах и копиях приказов по личному составу и материалах к ним, сведения
о государственных и ведомственных наградах, почетных и специальных званиях, поощрениях, материалы по
аттестации и оценке; материалы по внутренним служебным расследованиям; внутрибанковские материалы по
расследованию и учету несчастных случаев на производстве и профессиональным заболеваниям в соответствии с
Трудовым кодексом РФ, другими федеральными законами; сведения о временной нетрудоспособности; табельный
номер; сведения о социальных льготах и о социальном статусе; сведения об образовании, квалификации,
повышении квалификации и переподготовке, о наличии специальных знаний или специальной подготовки; сведения,
указанные в трудовой книжке; содержание и реквизиты трудового договора или гражданско-правового договора;
сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу; СНИЛС; банковские
счета, номера банковских карт;
— для кандидатов на замещение вакантных должностей:
фамилия, имя, отчество; сведения о перемене имени; пол; дата рождения, место рождения; адрес
регистрации;
фактический адрес; паспортные данные или данные иного документа, удостоверяющего личность; семейное
положение; состав семьи (степень родства; фамилия, имя, отчество; год рождения); контактные телефоны;
отношение к воинской обязанности; адрес электронной почты; предполагаемая должность; тип занятости; стаж;
образование; опыт работы; гражданство; сведения о знании иностранных языков; сведения об ограничениях по
состоянию здоровья сведения об обязательствах или просроченной задолженности;
— для представителей клиентов и партнеров, бенефициарных владельцев и выгодоприобретателей
клиентов,
бенефициарных владельцев Оператора:
фамилия, имя, отчество (в т.ч. прежние), пол, дата и место рождения, данные документа, удостоверяющего
личность, гражданство, данные миграционной карты и/или иного документа, подтверждающего право иностранного
гражданина или лица без гражданства на пребывание (проживание) в Российской Федерации, адрес места
жительства (регистрации) или места пребывания, ИНН, номер телефона, адрес электронной почты, почтовый адрес,
данные о принадлежности к публичным должностным лицам (должность, наименование и адрес его работодателя),
принадлежность владельца к супругам, близким родственникам иностранного публичного должностного лица
(статус, степень родства);
— для клиентов Оператора:
фамилия, имя, отчество, пол, дата рождения, контактная информация, иные персональные данные,
определенные
условиями договора.
— для клиентов иных операторов персональных данных:
фамилия, имя, отчество, пол, дата рождения, контактная информация, иные персональные данные,
определенные
условиями договора.
— для аффилированных лиц Оператора – физических лиц:
фамилия, имя, отчество, пол, гражданство, место жительства, данные документа, удостоверяющего личность,
сведения об основании/основаниях (в том числе реквизиты документов или сами документы, подтверждающие данные
основания), в силу которого/которых лицо является аффилированным с Оператором, дата наступления основания,
взаимосвязи лица с другими лицами, принадлежащими к группе лиц, к которой принадлежит Оператор;
— для контрагентов Оператора – в пределах данных, в соответствии с заключенными договорами
Полный список персональных данных клиентов, посетителей и пользователей сайта и иных информационных
ресурсов
Оператора указан в настоящей Политике, в согласиях, предоставляемых субъектами персональных данных.
Перечень персональных данных, обрабатываемых Оператором, определяется в соответствии с локальными
нормативными актами Оператора с учетом целей обработки персональных данных.
6. Порядок и условия обработки персональных данных
6.1. Информация, относящаяся к персональным данным, ставшая известной Оператору, является защищаемой,
конфиденциальной информацией и охраняется в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О
персональных данных».
6.2. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям
обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их
обработки.
6.3. Обработка персональных данных осуществляется на законных основаниях в соответствии с принципами
справедливости и добросовестности.
6.4. Обработка персональных данных Оператором ограничивается достижением конкретных, заранее
определенных и
законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных
данных.
6.5. Не допускается объединение баз данных, содержащих персональные данные, обработка которых
осуществляется
в целях, несовместимых между собой.
6.6. Оператор обеспечивает точность, достаточность и актуальность персональных данных по отношению к
целям
их обработки, а также не допускает избыточность обрабатываемых персональных данных по отношению к заявленным
целям их обработки.
6.7. Обработка персональных данных осуществляется:
— с согласия субъекта ПДн на обработку его ПДн, если иное не предусмотрено законодательством Российской
Федерации в области ПДн.
— оператор без согласия субъекта ПДн не раскрывает третьим лицам и не распространяет ПДн, если иное не
предусмотрено федеральным законом.
6.8. Доступ к обрабатываемым Оператором ПДн разрешается только работникам Оператора, занимающим
должности,
включенные в перечень должностей ООО «ВИМ», при замещении которых осуществляется обработка ПДн.
6.9. Оператор осуществляет передачу ПДн государственным органам в рамках и в соответствии с
законодательством РФ.
6.10. Оператор вправе передавать ПДн органам дознания и следствия, иным уполномоченным органам по
основаниям, предусмотренным действующим законодательством Российской Федерации.
6.11. Доступ к обрабатываемым ПДн предоставляется только тем работникам Оператора, которым он необходим
в
связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной
ответственности.
6.12. Оператор обеспечивает раздельное хранение ПДн и их материальных носителей, обработка которых
осуществляется в разных целях и которые содержат разные категории ПДн.
6.13. Хранение материальных носителей ПДн осуществляется Оператором с соблюдением условий,
обеспечивающих
сохранность ПДн и исключающих несанкционированный доступ к ним.
6.14. При достижении целей обработки ПДн, а также в случае отзыва Субъектом ПДн согласия на их обработку
ПДн
подлежат уничтожению, если:
— иное не предусмотрено договором;
— оператор не вправе осуществлять обработку без согласия Субъекта ПДн на основаниях, предусмотренных
федеральным законом 152-ФЗ или иными федеральными законами;
— иное не предусмотрено иным соглашением между оператором и Субъектом.
6.15. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие
на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может
быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его
получения форме, если иное не установлено федеральным законом. Если в соответствии с Федеральным
законодательством предоставление персональных данных и (или) получение Оператором согласия на обработку
персональных данных являются обязательными, Оператор обязан разъяснить субъекту персональных данных
юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.
7. Хранение и уничтожение персональных данных
7.1. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных
данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных
данных не установлен законодательством Российской Федерации, договором, стороной которого,
выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые
персональные данные уничтожаются по достижении целей обработки или в случае утраты необходимости в
достижении этих целей, если иное не предусмотрено федеральным законом.
7.2. Персональные данные, в отношении которых выполняется одно из следующих условий, подлежат
уничтожению в
сроки, установленные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»:
— истек срок действия согласия или произошел отзыв согласия на обработку персональных данных, и отсутствуют
другие законные основания на продолжение обработки персональных данных;
— в ходе контроля за соблюдением требований законодательства Российской Федерации в области персональных
данных выявлено, что персональные данные не являются необходимыми для заявленных целей обработки;
— в ходе контроля за соблюдением требований законодательства Российской Федерации в области персональных
данных выявлено, что персональные данные получены незаконно;
— невозможно обеспечить правомерность обработки персональных данных;
— после достижения целей обработки персональных данных.
Уничтожение персональных данных выполняется в соответствии с методиками, разрабатываемыми уполномоченным
органом по защите прав субъектов персональных данных.
7.3. Сроки хранения персональных данных определяются исходя из:
— Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
— Федерального закона от 06.12.2011 №402-ФЗ «О бухгалтерском учете»;
— Налогового кодекса Российской Федерации;
— Приказа Федерального архивного агентства Российской Федерации от 20.12.2019 № 236 «Об утверждении «Перечня
типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов,
органов местного самоуправления и организаций, с указанием сроков хранения»;
— Договора, стороной которого, выгодоприобретателем или поручителем, по которому является субъект
персональных данных;
— Иных нормативных правовых актов, регламентирующих сроки хранения информации.
7.4. Персональные данные по достижении цели обработки уничтожаются в срок, не превышающий тридцати дней
с
момента истечения срока хранения, если иное не предусмотрено требованиями законодательства РФ.
Оператор осуществляет: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение),
распространение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение ПДн.
8. Способы обработки ПДн Оператором
В зависимости от информационной системы, используемой Оператором, обработка ПДн может осуществляться путем:
— смешанной обработки с передачей по внутренней сети Оператора с передачей по сети интернет;
— автоматизированной обработки без передачи по внутренней сети Оператора с передачей по сети интернет;
— смешанной обработки без передачи по внутренней сети Оператора без передачи по сети интернет.
8.1. Передача персональных данных третьим лицам возможна только с согласия субъекта персональных данных
или
в случаях, предусмотренных действующим законодательством.
8.2. В случае если Оператор поручает обработку персональных данных субъекта третьему лицу на основании
заключенного с ним договора, лицо, осуществляющее обработку персональных данных по поручению оператора,
обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным
законом от 27.07.2006 № 152-ФЗ «О персональных данных», соблюдать конфиденциальность персональных данных,
принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим
Федеральным законом. В поручении Оператора должны быть определены перечень персональных данных, перечень
действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку
персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать
конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1
Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», обязанность по запросу Оператора в
течение срока действия поручения Оператора, в том числе до обработки персональных данных, предоставлять
документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора
требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность
персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых
персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных
данных», в том числе требование об уведомлении Оператора о случаях, предусмотренных частью 3.1 статьи 21
Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
8.3. Условиями прекращения обработки персональных данных являются:
— достижение целей обработки персональных данных;
— истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его
персональных данных, и отсутствие других законных оснований на продолжение обработки персональных данных;
— выявление неправомерной обработки персональных данных;
— ликвидация юридического лица.
8.4. Доступ к персональным данным субъектов предоставляется работникам Оператора в соответствии с их
должностными обязанностями (в пределах трудовой функции).
8.5. Работники Оператора и иные лица, получившие доступ к обрабатываемым персональным данным,
предупреждаются о возможной дисциплинарной, административной, гражданско-правовой или уголовной
ответственности в случае нарушения норм и требований действующего законодательства РФ, регулирующего правила
обработки и защиты персональных данных.
9. Особенности обработки ПДн, разрешенных субъектом ПДн для распространения
9.1. Оператор в рамках своей деятельности может осуществлять распространение ПДн субъекта ПДн при наличии
соответствующего согласия субъекта ПДн, полученного в строгом соответствии с требованиями статьи 10.1
федерального закона 152-ФЗ.
9.2. Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, оформляется отдельно от
иных
согласий. Субъект ПДн самостоятельно может определить категории и перечень ПДн, разрешенных для
распространения.
9.3. В согласии на обработку ПДн, разрешенных субъектом ПДн для распространения, субъект ПДн вправе
установить условия и запреты, накладываемые на перечень и категории ПДн разрешенных субъектом ПДн для
распространения.
9.4. Распространение ПДн производится Оператором на соответствующих информационных ресурсах Оператора,
размещенных в телекоммуникационной сети «Интернет».
10. Особенности обработки ПДн, разрешенных субъектом ПДн для распространения
10.1. Принимаемые меры основаны на требованиях, указанных в следующих нормативных документах:
— Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных»;
— «Методический документ. Модель оценки угроз информационной безопасности», утвержден ФСТЭК России
15.02.2021;
— Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических
мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных
данных»;
— Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных
данных при их обработке в информационных системах персональных данных»;
— Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об
особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
10.2. Оператор предпринимает необходимые организационные и технические меры по защите персональных
данных, в
частности:
— назначено лицо, ответственные за организацию обработки и обеспечение безопасности персональных данных;
— разработаны, внедрены и соблюдаются требования локальных нормативных актов Оператора, устанавливающие
процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации,
устранение последствий таких нарушений;
— осуществляетcя ознакомление работников, непосредственно осуществляющих обработку персональных данных, с
положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите
персональных данных, документами, определяющими политику Оператора в отношении обработки персональных
данных, локальными актами по вопросам обработки персональных данных, организовано обучение и проведение
методической работы с работниками, занимающими должности, включенные в перечень должностей Оператора
обрабатывающих ПДн;
— установлен запрет на передачу ПДн по открытым каналам связи, вычислительным сетям вне пределов
контролируемой зоны и сетям Интернет без применения установленных Оператором мер по обеспечению безопасности
ПДн;
— работникам запрещается передавать или иным способом разглашать персональные данные, к которым они имеют
доступ, кроме случаев, регламентированных Федеральным законом;
— разграничены права доступа к обрабатываемым персональным данным, в том числе с учетом трудовой функции
работников;
— определены места хранения материальных носителей персональных данных и соблюдаются условия, исключающие
несанкционированный доступ к ним;
— обеспечено раздельное хранение материальных носителей, на которых хранятся персональные данные, обработка
которых ведется в различных целях;
— в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным
требованиям проводятся периодические проверки условий обработки персональных данных;
— проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения
Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», соотношение указанного вреда и
принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных данным
федеральным законом;
— применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации.
Помимо вышеуказанных мер, осуществляются меры технического и организационного характера:
— применение мер по обеспечению безопасности персональных данных субъектов при их обработке в информационных
системах персональных данных, необходимых для выполнения требований к защите персональных данных субъектов,
исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности
персональных данных;
— оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в
эксплуатацию информационной системы персональных данных;
— учет машинных носителей персональных данных;
— обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по
обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы
персональных данных и по реагированию на компьютерные инциденты в них;
— восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного
доступа к ним;
— установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных
данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в
информационной системе персональных данных;
— контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности
информационных систем персональных данных;
— применение иных мер, предусмотренных законодательством Российской Федерации в области персональных данных;
— выполнение резервирования и восстановления персональных данных, работоспособности технических средств и
программного обеспечения, средств защиты информации в информационных системах персональных данных
модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— применение иных необходимых мер безопасности.
11. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных
11.1. Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии
персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить
возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его
представителя в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его
представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления
Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления
срока предоставления запрашиваемой информации.
11.2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем
субъекте
персональных данных или персональных данных субъекту персональных данных или его представителю при их
обращении либо при получении запроса субъекта персональных данных или его представителя Оператор обязан дать
в письменной форме мотивированный ответ, содержащий ссылку на законодательство, являющееся основанием для
такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или
его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в
адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока
предоставления запрашиваемой информации.
11.3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю
возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок,
не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем
сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор
обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления
субъектом персональных данных или его представителем сведений, подтверждающих что такие персональные данные
являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан
уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его
представителя об уничтожении ПДн или о внесенных изменениях и предпринятых мерах и принять разумные меры для
уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
11.4. Указанные выше сведения должны быть предоставлены субъекту персональных данных Оператором в
доступной
форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных
данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Оператор предоставляет сведения субъекту персональных данных или его представителю в той форме, в которой
направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
11.5. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по
запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса.
Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в
адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с
указанием причин продления срока предоставления запрашиваемой информации.
11.6. Оператором введены в действие документы, определяющие порядок обработки обращений субъектов
персональных данных, порядок взаимодействия с уполномоченным органом по защите прав субъектов персональных
данных, организован учет обращений и запросов в соответствующих журналах учета.
Формы запросов субъекта персональных данных прилагаются к настоящей Политике.
12. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных
12.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных
данных или его представителя либо по запросу субъекта персональных данных или его представителя либо
уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование
неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или
обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по
поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки. В
случае выявления неточных персональных данных при обращении субъекта персональных данных или его
представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных
данных Оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту
персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется
другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного
запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы
субъекта персональных данных или третьих лиц.
12.2. В случае подтверждения факта неточности персональных данных Оператор на основании сведений,
представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите
прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо
обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по
поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование
персональных данных.
12.3. В случае выявления неправомерной обработки персональных данных (в том числе неправомерного
распространения и предоставления данных), осуществляемой Оператором или лицом, действующим по поручению
Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить
неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных
данных лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки
персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления
неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их
уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан
уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта
персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов
персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных,
также указанный орган.
В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа)
персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента
выявления такого инцидента самим Оператором, уполномоченным органом по защите прав субъектов персональных
данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных
данных:
— в течение двадцати четырех часов – о произошедшем инциденте, о предполагаемых причинах, повлекших
нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов
персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также
предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите
прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
— в течение семидесяти двух часов – о результатах внутреннего расследования выявленного инцидента, а также
предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
12.4. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку
персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим
лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение
(если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок,
не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не
предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является
субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если
Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на
основаниях, предусмотренных законодательством Российской Федерации.
12.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных
Оператор
обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных
данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение
персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные
данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом,
действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного
отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по
которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных
данных, либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта
персональных данных на основаниях, предусмотренных законодательством Российской Федерации.
12.6. В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки
персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения Оператором
соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая
обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев,
предусмотренных пунктами 2 – 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального
закона от 27.07.2006 №152-ФЗ «О персональных данных». Указанный срок может быть продлен, но не более чем на
пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного
уведомления с указанием причин продления срока предоставления запрашиваемой информации.
12.7. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в
настоящем разделе Политики, Оператор осуществляет блокирование таких персональных данных или обеспечивает их
блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению
Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок
не установлен законодательством Российской Федерации.
13. Основные права и обязанности Оператора
Оператор персональных данных вправе:
— отстаивать свои интересы в суде,
— предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим
законодательством РФ или согласием субъекта персональных данных,
— отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством,
— использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством.
14. Права и обязанности субъектов персональных данных
14.1. Субъект персональных данных имеет право на:
— получение от Оператора информации, касающейся обработки его персональных данных, если такое право не
ограничено в соответствии с законодательством РФ;
— подтверждение факта обработки ПДн Оператором;
— получение информации о правовых основаниях и целях обработки ПДн;
— получение информации о применяемых Оператором способах обработки ПДн;
— получение информации о наименовании и месте нахождения Оператора, сведениях о лицах (за исключением
работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора
с Оператором или на основании законодательства РФ;
— получение сведений о своих персональных данных, обрабатываемых Оператором, и источнике их получения;
— получение информации об осуществленной или о предполагаемой трансграничной передаче данных;
— доступ к своим персональным данным, включая право на получение копии любой записи, содержащей его
персональные данные, за исключением случаев, предусмотренных законодательством РФ;
— уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные
являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для
заявленной цели обработки;
— принятие предусмотренные законом мер по защите своих прав;
— отзыв согласия на обработку персональных данных;
— обжалование действия или бездействия Оператора, осуществляемого с нарушением требований законодательства
Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов
персональных данных или в судебном порядке,
— получение информации о способах исполнения Оператором обязанностей, установленных статьей 18.1
Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
— получение иных сведений, предусмотренных законодательством.
Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к
Оператору. Оператор рассматривает любые обращения и жалобы субъектов персональных данных, тщательно
расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, привлечения к
ответственности лиц, допустивших соответствующие нарушения, и урегулирования спорных и конфликтных ситуаций
в досудебном порядке.
Если субъект персональных данных считает, что Оператор обрабатывает его персональные данные с нарушением
требований законодательства РФ или иным образом нарушает его права и свободы, он вправе обжаловать действия
или бездействие Оператора в орган по защите прав субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих законных прав и интересов, в том числе на возмещение
убытков и (или) компенсацию морального вреда в судебном порядке.
14.2. Субъект персональных данных обязан: своевременно предоставлять сведения об изменении своих
персональных данных.
15. Трансграничная передача персональных данных
Оператор осуществляет трансграничную передачу персональных данных в соответствии с требованиями действующего
законодательства Российской Федерации.
Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами
Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а
также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных,
осуществляется в соответствии с требованиями действующего законодательства Российской Федерации.
Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих
адекватной защиты прав субъектов персональных данных, осуществляется в соответствии с требованиями
действующего законодательства Российской Федерации.
16. Местонахождение баз данных информации, содержащих персональные данные граждан Российской Федерации
При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
17. Внутренний контроль за соответствием обработки персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», принятых в соответствии с ним нормативных правовых актов и внутренних нормативных документов Оператора
17.1. Контроль за соблюдением Оператором требований законодательства Российской Федерации и локальных
нормативных документов в области персональных данных (в том числе защиты персональных данных) осуществляется
с целью:
— проверки соответствия обработки персональных данных законодательству Российской Федерации и локальным
нормативным документам Оператора в области персональных данных,
— принятия мер, направленных на предотвращение и выявление нарушений законодательства в области персональных
данных, выявление возможных каналов несанкционированного доступа к персональным данным и устранение
последствий подобных нарушений.
17.2. Внутренний контроль соблюдения сотрудниками Оператора требований законодательства Российской
Федерации
и локальных нормативных документов в области персональных данных, в том числе защиты персональных данных
осуществляется лицом, ответственным за организацию обработки персональных данных.
17.3. Внутренний контроль соответствия обработки персональных данных требованиям Федерального закона,
принятых в соответствии с ним нормативных правовых актов и локальных нормативных документов в области
персональных данных осуществляет подразделение, на которое возложены функции внутреннего аудита.
17.4. Персональная ответственность за соблюдение требований законодательства Российской Федерации и
локальных нормативных документов в области персональных данных, в том числе защиты персональных данных, в
структурном подразделении Оператора возлагается на руководителя данного структурного подразделения или лицо
его замещающее.
18. Заключительные положения
18.1. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и
специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три
года.
18.2. Контроль исполнения требований настоящей Политики осуществляется работником, ответственным за
организацию обработки персональных данных.
18.3. Ответственность должностных лиц Оператора, имеющих доступ к персональным данным, за невыполнение
требований норм, регулирующих обработку и защиту персональные данные, определяется в соответствии с
законодательством Российской Федерации и внутренними документами Оператора.