ПОЛИТИКА ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
(ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ)
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О ПДн» (Закон о ПДн) и иными актами Российской Федерации. Политика определяет основные принципы, порядок и условия обработки ПДн компанией-оператором ПДн, устанавливает порядок работы с персональными данными, правила обеспечения защиты и конфиденциальности ПДн.
1.2. Правовым основанием обработки персональных данных являются:
- совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе: Конституция Российской Федерации; Гражданский кодекс Российской Федерации; Трудовой кодекс Российской Федерации; Налоговый кодекс Российской Федерации; Федеральный закон «Об акционерных обществах» от 26 декабря 1995 г. № 208-ФЗ; Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»; Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
- Федеральный закон РФ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Положение об особенностях обработки ПДн, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства РФ от 15.09.2008 № 687;
- Требованиями к защите ПДн при их обработке в информационных системах ПДн, утвержденными Постановлением Правительства РФ от 01.11.2012 № 1119;
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн»;
- Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите ПДн для каждого из уровней защищенности»;
- договоры, заключаемые между Оператором и субъектами персональных данных;
- согласие субъектов персональных данных на обработку их персональных данных;
- иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
2. ТЕРМИНОЛОГИЯ
Основные понятия, используемые в Политике, определены в Законе о ПДн:
- Автоматизированная обработка ПДн — обработка ПДн с помощью средств вычислительной техники.
- Неавтоматизированная обработка ПДн — обработка содержащихся в информационной системе ПДн либо извлеченных из такой системы при непосредственном участии человека.
- Блокирование ПДн — временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
- Биометрические ПДн — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн.
- Информационная система ПДн — совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
- Использование ПДн — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта ПДн, либо иным образом затрагивающих права и свободы субъекта ПДн.
- Несанкционированный доступ — доступ к информации или к ресурсам автоматизированной информационной системы, осуществляемый с нарушением установленных прав и (или) правил доступа.
- Обезличивание ПДн — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
- Оператор ПДн — акционерное общество должным образом зарегистрировано и действует в соответствии с законодательством Российской Федерации/5.
- Обработка ПДн — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение ПДн.
- ПДн — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу.
- ПДн, разрешенные субъектом ПДн для распространения — ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном федеральным законом «О ПДн» от 27.07.2006 № 152-ФЗ.
- Предоставление ПДн — действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
- Распространение ПДн — действия, направленные на раскрытие ПДн неопределенному кругу лиц.
- Уничтожение ПДн — действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.
- Сайт — совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети интернет и расположенной по адресу: https://snova.tech/.
3. ПРИНЦИПЫ ОБРАБОТКИ
3.1. При обработке ПДн Оператор придерживается следующих принципов:
- законности и справедливости обработки ПДн;
- соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн;
- соответствия содержания и объема обрабатываемых ПДн целям обработки ПДн;
- точности, достаточности и актуальности при обработке ПДн;
- недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;
- недопустимости объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
- хранения ПДн в форме, позволяющей определить Субъекта ПДн, не дольше, чем этого требуют цели их обработки, если срок хранения ПДн не установлен федеральным законом или, договором;
- уничтожения или обезличивания ПДн по достижении целей их обработки, или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
- обеспечения конфиденциальности и безопасности обрабатываемых ПДн.
4. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПДН
4.1. Обработка ПДн Оператором включает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение.
4.2. Обработка ПДн Оператором осуществляется с согласия Субъекта ПДн на обработку его ПДн, если иное не предусмотрено законодательством РФ. Оператор не раскрывает третьим лицам и не распространяет ПДн без согласия Субъекта ПДн, если иное не предусмотрено федеральным законом.
4.3. Оператор может обрабатывать персональных данные субъектов ПДн как с использованием автоматизированной обработки ПДн (с использованием средств вычислительной техники) и неавтоматизированной обработки ПДн (без использования средств вычислительной техники) с фиксацией ПДн на Материальных носителях. Обработка Оператором ПДн автоматизированным способом (в ИСПДн) и неавтоматизированным способом осуществляется с соблюдением требований Законодательства РФ и положений Оператора, регламентирующих вопросы обработки и защиты ПДн. При обработке ПДн автоматизированном способом Оператор принимает необходимые меры по обеспечению безопасности обрабатываемых ПДн. Обработка ПДн неавтоматизированном способом, в том числе хранение Материальных носителей ПДн, осуществляется в помещениях, обеспечивающих их сохранность, с возможностью определить места хранения ПДн (Материальных носителей) в порядке, предусмотренном Законодательством РФ.
4.4. Оператор принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении обрабатываемых ПДн.
4.5. Для информационного обеспечения работников Оператор может создавать справочники, содержащие контакты работников. Оператор предоставляет доступ к таким справочникам только авторизованным лицам в соответствии с внутренним документом, регулирующим правила доступа к информационным ресурсам.
4.6. Оператор может осуществлять обработку ПДн, разрешенных Субъектом ПДн для распространения, в соответствии со статьей 10.1 Закона № 152-ФЗ.
4.7. Оператор прекращает обработку персональных данных в следующих случаях:
- выявлен факт их неправомерной обработки. Срок — в течение трех рабочих дней с даты выявления;
- достигнута цель их обработки;
- истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону № 152-ФЗ обработка этих данных допускается только с согласия.
4.8. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Оператор прекращает обработку этих данных, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом № 152-ФЗ или иными федеральными законами;
- иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
4.9. При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом № 152-ФЗ. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
4.10. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе № 152-ФЗ.
4.11. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:
- в течение 24 часов — уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
- в течение 72 часов — уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
5. ЦЕЛИ ОБРАБОТКИ ПДН, КАТЕГОРИИ И ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПДН, КАТЕГОРИИ СУБЪЕКТОВ, ПДН КОТОРЫХ ОБРАБАТЫВАЮТСЯ, СПОСОБЫ, СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПДН, ПОРЯДОК ИХ УНИЧТОЖЕНИЯ
5.1. Оператор обрабатывает ПДн для достижения конкретных, заранее определенных и законных целей. Оператор не осуществляет обработку ПДн, несовместимую с целями сбора ПДн. Для каждой цели обработки ПДн Оператором определены:
- соответствующие категории и перечень обрабатываемых ПДн;
- категории Субъектов ПДн, ПДн которых обрабатываются Оператором;
- способы и сроки обработки и хранения ПДн;
- порядок уничтожения ПДн.
5.2. Оператор обрабатывает общие категории ПДн.
5.3. Оператор не обрабатывает биометрические и специальные категории ПДн, если иное не установлено законодательством.
5.4. Цель обработки ПДн: подбор персонала и рассмотрение соискателей на вакантные должности.
5.4.1. В рамках цели, указанной в 5.4 Оператор обрабатывает ПДн следующих категорий Субъектов ПДн: соискатели (кандидаты) на замещение вакантных должностей. При этом ПДн физических лиц, связанных с указанными соискателями (кандидатами), обрабатываются Оператором исключительно в связи с необходимостью осуществления отбора соискателей (кандидатов) для подбора персонала и рассмотрение соискателей на вакантные должности.
5.4.2. В отношении соискателей (кандидатов), претендующих на вакантные должности у Оператора при наличии и с учетом условий (правовых оснований) обработки ПДн, допускается обработка следующих ПДн:
- ПДн, входящие в категорию «Иные ПДн»: фамилия, имя, отчество; гражданство; номера контактных телефонов; сведения об образовании (наименование учебного учреждения, год поступления, год окончания, специальность); сведения о степени владения иностранными языками; сведения о владении компьютером; сведения о предыдущих местах работы (дата приема, дата увольнения, название организации, должность; вид деятельности организации, должностные обязанности);
- ПДн, входящие в категорию «Специальные категории ПДн»: не обрабатываются;
- ПДн, входящие в категорию «Биометрические персональные»: не обрабатываются.
5.4.3. Способы обработки ПДн для цели, указанной в п. 5.4 Политики, определены в п. 5.1 Политики.
5.4.4. Сроки обработки и хранения ПДн для цели, указанной в п. 5.4 Политики, определены в п. 5.9 Политики.
5.4.5. Порядок уничтожения ПДн для цели, указанной в п. 5.4 Политики, определены в п. 5.11 Политики.
5.5. Цель обработки ПДн: заключение и исполнение трудового договора с работником, в том числе ведение кадрового учета, личных дел, карточек Т2; расчет и начисление заработной платы; учет информации, необходимой для сопровождения трудовых отношений работника в соответствии с законодательством Российской Федерации, ответы на запросы государственных органов и работников, в том числе, бывших работников; выплата заработной платы, авансов, возмещения командировочных, представительских, хозяйственных расходов и социальных выплат; организация и осуществление курьерской доставки документов, техники, пассажирской перевозки; проведение специальной оценки условий труда и оказание услуг по охране труда; подготовка, подписание, исполнение и расторжение договоров.
5.5.1. В рамках цели, указанной в п. 5.5 Оператор обрабатывает ПДн следующих категорий Субъектов ПДн: «Работники, Родственники Работников, Уволенные работники, Родственники уволенных работников и контрагенты — физические лица. При этом ПДн контрагентов — физических лиц, связанных с Работниками, обрабатываются Оператором исключительно в связи с необходимостью организации, обеспечения и регулирования трудовых и непосредственно связанных с ними отношений.
5.5.2. В отношении Работников в рамках цели, указанной в п.5.5 Политики, при наличии и с учетом условий (правовых оснований) обработки ПДн, допускается обработка следующих ПДн:
- ПДн, входящие в категорию «Иные ПДн»: фамилия, имя, отчество; реквизиты документа, удостоверяющего личность (фотография, серия и номер, когда и кем выдан, код подразделения; дата рождения; пол; место рождения; гражданство; адрес регистрации по месту жительства, дата регистрации по месту жительства); ИНН; СНИЛС; фактический адрес места жительства; номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; сведения о доходах; сведения о реквизитах банковского счета; сведения об образовании, наименование и реквизиты документа об образовании (серия и номер, дата выдачи, наименование выдавшего органа, квалификация, специальность); наименование и реквизиты (серия и номер, дата выдачи, наименование проводившей обучение организации, наименование выдавшего органа) документа о прохождении обучения (повышения квалификации, переподготовке); сведения о семейном положении; сведения о наличии военной обязанности, реквизиты военного билета (серия и номер, дата выдачи, наименование выдавшего органа, категория запаса; воинское звание; полное обозначение военно-учетной специальности; категория годности; наименование военного комиссариата по месту жительства; номер команды, партии воинского учета) или удостоверения гражданина, подлежащего призыву на военную службу; сведения об инвалидности; сведения о данных, содержащихся в свидетельстве о заключении брака; сведения об изменении имени, фамилии, отчества; сведения о данных, содержащихся в свидетельстве о рождении детей; сведения о составе семьи; сведения о стаже работы; сведения о виде работы (основная/по совместительству); сведения о размере оклада; сведения о начисленной и удержанной заработной платы; сведения о начисленных и уплаченных страховых взносах; сведения о премиях; сведения о периодических выплатах; сведения о сумме дополнительного вознаграждения; сведения о факте, периоде и продолжительности временной нетрудоспособности; сведения о причинах нетрудоспособности; реквизиты листов нетрудоспособности;
- ПДн, входящие в категорию «Специальные категории ПДн»: не обрабатываются;
- ПДн, входящие в категорию «Биометрические персональные»: не обрабатываются.
5.5.3. В отношении Родственников работников:
- ПДн, входящие в категорию «Иные ПДн»: ПДн, не являющиеся специальными или биометрическими: фамилия, имя, отчество, дата рождения, степень родства;
- ПДн, входящие в категорию «Специальные категории ПДн»: не обрабатываются;
- ПДн, входящие в категорию «Биометрические персональные»: не обрабатываются.
5.5.4. В отношении Уволенных работников:
- ПДн, входящие в категорию «Иные ПДн»: ПДн, не являющиеся специальными или биометрическими: фамилия, имя, отчество; ИНН; документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа; пол; дата рождения; место рождения; гражданство; сведения об образовании, повышении квалификации; сведения о семейном положении; данные документа, удостоверяющего личность; адрес места жительства; адрес регистрации; номер телефона; сведения о воинском учете (категория запаса, воинское звание, состав (профиль), полное кодовое обозначение ВУС, категория годности к военной службе;
- ПДн, входящие в категорию «Специальные категории ПДн»: не обрабатываются;
- ПДн, входящие в категорию «Биометрические персональные»: не обрабатываются.
5.5.5. В отношении Родственников уволенных работников:
- ПДн, входящие в категорию «Иные ПДн»: ПДн, не являющиеся специальными или биометрическими: фамилия, имя, отчество, степень родства;
- ПДн, входящие в категорию «Специальные категории ПДн»: не обрабатываются;
- ПДн, входящие в категорию «Биометрические персональные»: не обрабатываются.
5.5.6. В отношении контрагентов — физических лиц:
- ПДн, входящие в категорию «Иные ПДн»: ПДн, не являющиеся специальными или биометрическими: фамилия, имя, отчество; реквизиты документа, удостоверяющего личность (серия и номер, когда и кем выдан, код подразделения; дата рождения; пол; место рождения; гражданство; адрес регистрации по месту жительства, дата регистрации по месту жительства); ИНН; СНИЛС; фактический адрес места жительства; номера контактных телефонов; адреса электронной почты; информация о налоговом статусе (освобождение от уплаты налогов, является ли налоговым резидентом);
- ПДн, входящие в категорию «Специальные категории ПДн»: не обрабатываются;
- ПДн, входящие в категорию «Биометрические персональные»: не обрабатываются.
5.6. Цель обработки ПДн: получение консультации, иной обратной связи от Оператора для дальнейшего сотрудничества.
5.6.1. В рамках цели, указанной в 5.6 Оператор, обрабатывает ПДн следующих категорий Субъектов ПДн: пользователи Сайта Оператора, физические лица, являющиеся представителями / работниками юридических лиц контрагентов Оператора.
5.6.2. В рамках цели, указанной в 5.6 Политики, при наличии и с учетом условий (правовых оснований) обработки ПДн, допускается обработка следующих ПДн:
- ПДн, входящие в категорию «Иные ПДн»: фамилия, имя, отчество; номер телефона; адрес электронной почты.
- ПДн, входящие в категорию «Специальные категории ПДн»: не обрабатываются;
- ПДн, входящие в категорию «Биометрические персональные»: не обрабатываются.
5.7. Цель обработки ПДн: получение статистики использования Сайта, а также его улучшений.
5.7.1. В рамках цели, указанной в 5.7, Оператор обрабатывает персональные статистические данные для их последующей обработки системой Яндекс.Метрика следующих категорий Субъектов ПДн: пользователей Сайта Оператора.
5.7.2. В рамках цели, указанной в 5.7 Политики, при наличии и с учетом условий (правовых оснований) обработки ПДн, допускается обработка следующих ПДн:
- ПДн, входящие в категорию «Иные ПДн»: адрес страницы (URL), реферер страницы, заголовок страницы, браузер и его версия, операционная система и ее версия, устройство, высота и ширина экрана, наличие файлов куки (Cookies), наличие сценариев JavaScript, часовой пояс, язык браузера, глубина цвета экрана, ширина и высота клиентской части окна браузера, пол и возраст посетителей, интересы посетителей, географические данные, события JavaScript, параметры загрузки страницы, просмотр страницы, визит, переход по внешней ссылке, скачивание файла, отказ, время на сайте, глубина просмотра.
- ПДн, входящие в категорию «Специальные категории ПДн»: не обрабатываются;
- ПДн, входящие в категорию «Биометрические персональные»: не обрабатываются.
5.7.3. Способы обработки ПДн для цели, указанной в п. 5.7 Политики определены в п. 5.1 Политики.
5.7.4. Сроки обработки и хранения ПДн для цели, указанной в п. 5.7 Политики, определены в п. 5.9 Политики.
5.7.5. Порядок уничтожения ПДн для цели, указанной в п. 5.7 Политики определены в п. 5.11 Политики.
5.7.6. Пользователь Сайта может самостоятельно управлять файлами куки (Cookies) путем изменения настроек браузера. Изменения пользовательских настроек, в результате которых файлы куки будут заблокированы, могут привести к недоступности отдельных компонентов Сайта.
5.8. Цель обработки ПДн: сотрудничество с контрагентами.
5.8.1. В рамках цели, указанной в 5.8, Оператор обрабатывает ПДн следующих категорий Субъектов ПДн: физических лиц, являющихся представителями / работниками юридических лиц контрагентов Оператора.
5.8.2. В отношении Субъектов ПДн в рамках цели, указанной в п. 5.8 Политики, при наличии и с учетом условий (правовых оснований) обработки ПДн, допускается обработка следующих ПДн:
- ПДн, входящие в категорию «Иные ПДн»: фамилия, имя, отчество; реквизиты документа, удостоверяющего личность; контактный номер телефона; адрес электронной почты.
- ПДн, входящие в категорию «Специальные категории ПДн»: не обрабатываются;
- ПДн, входящие в категорию «Биометрические персональные»: не обрабатываются.
5.9. Сроки обработки и хранения ПДн для каждой указанной в Политике цели обработки ПДн устанавливаются с учетом соблюдения требований, в том числе условий обработки ПДн, определенных законодательством РФ, и/или с учетом положений договора, стороной, выгодоприобретателем или поручителем по которому выступает Субъект ПДн, и/или согласия Субъекта ПДн на обработку его ПДн, при этом обработка и хранение ПДн осуществляются не дольше, чем этого требуют цели обработки ПДн, если иное не установлено законодательством РФ.
ПДн на бумажных носителях хранятся у Оператора в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 № 236)).
Срок хранения ПДн, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
5.10. Предоставленное в соответствии с Политикой согласие на обработку ПДн может быть в любой момент отозвано путем направления письменного заявления по адресу: 121099, Г.МОСКВА, ВН.ТЕР.Г. МУНИЦИПАЛЬНЫЙ ОКРУГ АРБАТ, ПЕР 2-Й СМОЛЕНСКИЙ, Д. 1/4, ПОМЕЩ. 1/5/5.
5.11. Порядок уничтожения ПДн
Уничтожение ПДн, обработка которых осуществляется в рамках целей, производится в следующих случаях:
- при достижении цели (целей) обработки ПДн или в случае утраты необходимости в достижении цели (целей) обработки ПДн, если иное не установлено и/или иными применимыми нормативными правовыми актами РФ — в течение 30 дней;
- при выявлении факта неправомерной обработки ПДн — в течение семи рабочих дней;
- при отзыве Субъектом ПДн согласия на обработку ПДн, если иное не предусмотрено — в течение 30 дней;
- при достижении максимальных сроков хранения документов, содержащих персональные данные — в течение 30 дней.
Способы уничтожения ПДн определяются в зависимости от способов обработки ПДн и Материальных носителей ПДн, на которых осуществляется запись и хранение ПДн и устанавливаются в локальных нормативных актах Оператора.
5.12. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
- иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
5.13. В ряде случаев, предусмотренных пунктами 2–11 части 1 статьи 6 ФЗ «О ПДн», Оператор может продолжить обработку ПДн после отзыва согласия на обработку ПДн.
6. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПДН
6.1. Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности и конфиденциальности ПДн в соответствии с требованиями законодательства РФ и нормативными правовыми актами в области обработки и защиты ПДн.
6.2. В целях обеспечения безопасности ПДн при их обработке Оператор предпринимает следующие меры:
- назначает лиц, ответственных за организацию обработки ПДн;
- разрабатывает и внедряет организационно-распорядительные документы и иные документы в области обработки и защиты ПДн;
- проводит инструктажи и обучение работников по вопросам обработки ПДн и мер по их защите;
- обеспечивает раздельное хранение ПДн и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории ПДн;
- обеспечивает разделение ПДн, обрабатываемых без использования средств автоматизации от иной информации;
- обеспечивает физическую безопасность помещений и мест хранений ПДн;
- определяет угрозы безопасности ПДн при их обработке в Информационных системах ПДн (далее — ИСПДн);
- применяет организационные и технические меры по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн;
- применяет прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации;
- дает оценку эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
- ведет учет машинных носителей ПДн;
- обнаруживает и расследует факты несанкционированного доступа к персональным данным, в том числе реализует меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них;
- осуществляет резервное копирование, восстанавливает ПДн, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;
- устанавливает правила доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечивает регистрацию и учет всех действий, совершаемых с персональными данными в ИСПДн;
- осуществляет контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ИСПДн.
7. ПОРЯДОК ПЕРЕДАЧИ ПДН ТРЕТЬИМ ЛИЦАМ / ПОРУЧЕНИЕ
7.1. Оператор обязан не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено Законом № 152-ФЗ.
7.2. Оператор предоставляет доступ к персональным данным пользователей Сайта только тем работникам Оператора, которым эта информация необходима для исполнения своих трудовых функций.
7.3. Для достижения целей обработки персональных данных Оператор может поручить обработку персональных данных третьим лицам, являющимся контрагентами Оператора с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
7.4. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом № 152-ФЗ, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом № 152-ФЗ.
7.5. Оператор вправе передавать ПДн органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
8. ОТВЕТСТВЕННОСТЬ
8.1. Ответственность за выполнение требований настоящей Политики возложена на руководителей подразделений и работников Оператора в рамках своих полномочий в процессе обработки ПДн.
8.2. Лица, случайно или намеренно нарушившие требования настоящей Политики, несут дисциплинарную и административную ответственность в соответствии с действующими документами Оператора, а также могут быть привлечены к ответственности в соответствии с Трудовым кодексом, Гражданским кодексом, Кодексом об административных правонарушениях и Уголовным кодексом РФ.
9. ПОЛУЧЕНИЕ СВЕДЕНИЙ, АКТУАЛИЗАЦИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона № 152-ФЗ, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
- подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации или бумажного — почтой по адресу: 121099, Г.МОСКВА, ВН.ТЕР.Г. МУНИЦИПАЛЬНЫЙ ОКРУГ АРБАТ, ПЕР 2-Й СМОЛЕНСКИЙ, Д. 1/4, ПОМЕЩ. 1/5/5.
Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона № 152-ФЗ, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона № 152-ФЗ все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона № 152-ФЗ, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
9.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
9.3. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
10.1. Настоящая Политика вступает в силу с момента ее утверждения и введения в действие и является общедоступным документом. Любые изменения в Политику вносятся путем утверждения и публикации обновленной Политики на Сайте.
10.2. Оператор знакомит работников с требованиями Политики под роспись (либо в бумажной форме с собственноручной подписью, либо в форме документа с электронной подписью).
Дата последних изменений: 01.01.2026