Политика в отношении обработки персональных данных

1. Общие положения

1.1 Настоящая Политика в отношении обработки персональных данных (далее - Политика) определяет порядок обработки и защиты информации о субъектах персональных данных (далее - Субъекты ПДн). Политика основывается на Конституции Российской Федерации, составлена в соответствии с пунктом 2 статьи 18.1 Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 г., а также других федеральных законов в области персональных данных (далее - «Законодательство о персональных данных»), определяющих порядок обработки персональных данных и принимаемые меры по защите и обеспечению безопасности персональных данных.

1.2 Политика применяется ко всей информации, которую Оператор может получить в рамках осуществления своей деятельности от Субъектов ПДн, включая информацию полученную посредством данного сайта (далее - Сайт).

1.3 Целью настоящей Политики является обеспечение надлежащей защиты информации о Субъектах ПДн, в том числе их персональных данных, от несанкционированного доступа и разглашения.

2. Термины и определения

2.1 Персональные данные Пользователя (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому Пользователю.

2.2 Оператор персональных данных (Оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

3. Принципы обработки персональных данных

3.1 Обработка ПДн Оператором осуществляется на основе следующих принципов:

• обработка ПДн осуществляется на законной и справедливой основе;
• обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
• обработке подлежат только ПДн, которые отвечают целям их обработки;
• обрабатываемые ПДн не являются избыточными по отношению к заявленным целям их обработки;
• хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, и они подлежат уничтожению по достижению целей обработки или в случае утраты необходимости в их достижении.

4. Обработка персональных данных на Сайте

4.1 В рамках настоящей Политики под «персональными данными пользователя» (субъекта персональных данных) понимаются:

• Персональная информация, которую пользователь предоставляет о себе на Сайте, самостоятельно при оставлении заявки или в ином процессе использования Сайта, в том числе: фамилия, имя, отчество; мобильный телефон; адрес электронной почты; ссылка на профиль в социальных сетях; фотографии; IP-адрес, информация о браузере Субъекта ПДн, информация из cookie, данные геолокации и иные данные, сбор и обработка которых происходит автоматически на сайте, принадлежащем Оператору.
• Данные, которые автоматически передаются Сайтом в процессе его использования с помощью установленного на устройстве пользователя программного обеспечения, в том числе IP-адрес, технические характеристики оборудования и программного обеспечения, информация из cookie, информация о браузере Субъектах ПДн (или иной программе, с помощью которой осуществляется доступ к сайту), время доступа, адрес запрашиваемой страницы, другие данные о посетителях от сервисов статистики посещаемости.

5. Субъекты персональных данных

5.1 Цели обработки ПДн происходят, в том числе из анализа правовых актов, регламентирующих деятельность Оператора, целей фактически осуществляемой Оператором деятельности, а также деятельности, которая предусмотрена учредительными документами Оператора, и конкретных бизнес-процессов Оператора в конкретных информационных системах ПДн.

6. Перечень подразделений и работников

6.1 В компании утвержден Перечень подразделений и работников, допущенных к работе с ПДн, обрабатываемыми в компании.

7. Порядок и условия обработки персональных данных

7.1 Способы обработки персональных данных:

• автоматизированная обработка;
• неавтоматизированная обработка (без использования средств автоматизации);
• смешанная обработка.

7.2 Действия (операции) с персональными данными:

• Оператор осуществляет следующие действия (операции) с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, предоставление, блокирование, удаление, уничтожение персональных данных.

7.3 Сбор персональных данных:

• Оператор получает ПДн:
• непосредственно от субъекта ПДн;
• от третьего лица или с целью исполнения требований нормативных правовых актов Российской Федерации, а также в иных случаях, когда это не противоречит действующему законодательству Российской Федерации.

7.4 Накопление и хранение персональных данных:

• Оператор осуществляет накопление ПДн следующими способами:
• внесение сведений в учетные формы (на бумажные носители и в базы данных автоматизированных систем).

7.5 Блокирование персональных данных:

• Блокирование ПДн осуществляется в следующих случаях:
• по требованию Субъекта ПДн;
• по требованию уполномоченных органов по защите прав Субъектов ПДн;
• по результатам внутренних контрольных мероприятий.

7.6 Уничтожение персональных данных:

• ПДн подлежат уничтожению в следующих случаях:
• по достижении целей обработки или в случае утраты необходимости в их достижении;
• получение соответствующего запроса субъекта ПДн, при условии, что запрос не противоречит требованиям нормативных правовых актов Российской Федерации;
• получение соответствующего предписания от уполномоченного органа по защите прав субъектов ПДн;
• по истечении сроков хранения ПДн;
• в случае ликвидации Оператора.

7.7 Субъект ПДн принимает условия Политики и дает Оператору информированное и осознанное согласие на обработку своих персональных данных на условиях, предусмотренных Политикой и Законом:

• При направлении заявки на Сайте -- для персональных данных, которые Субъект ПДн предоставляет Оператору: путем заполнения формы для заявки.
• При любом использовании Сайта для персональных данных, которые автоматически передаются Оператору в процессе использования Сайта с помощью установленного на устройстве Пользователя программного обеспечения (файлы сookie).

7.8 Субъект ПДн дает Оператору согласие на обработку соответствующих персональных данных, перечень которых указан в настоящей Политике, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление третьим лицам, доступ), обезличивание, блокирование, удаление, уничтожение с использованием и без использования средств автоматизации в соответствии с целями, указанными в настоящем разделе.

8. Права и ответственность субъектов персональных данных

8.1 Субъекты ПДн имеют право:

• принимать решение о предоставлении своих ПДн Оператору и третьим лицам и давать согласие на их обработку свободно, своей волей и в своем интересе;
• отозвать свое согласие на обработку ПДн;
• получить от Оператора информацию, касающуюся обработки их ПДн посредством направления соответствующего запроса;
• требовать от Оператора уточнения ПДн, их блокирования или уничтожения, в случае если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки;
• требовать прекращения обработки их ПДн в целях продвижения товаров, работ услуг на рынке путем осуществления прямых контактов с ними с помощью средств связи;
• обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке, если субъект ПДн считает, что Оператор осуществляет обработку его ПДн с нарушением требований законодательства Российской Федерации или иным образом нарушает его права и свободы;
• осуществлять иные права, предусмотренные законодательством Российской Федерации.

8.2 Ответственность пользователя:

• Субъекты ПДн обязаны предоставлять Оператору только достоверные персональные данные и своевременно сообщать об их изменении.
• Оператор не осуществляет намеренно обработку персональных данных несовершеннолетних лиц. Оператор рекомендует пользоваться сайтом лицам, достигшим 18 лет.
• Оператор не несет ответственности за обработку персональных данных третьих лиц, которые получатель услуг Оператора сообщил как свои собственные.
• В случае несогласия Субъекта ПДн полностью либо в части с условиями настоящей Политики - использование Сайта и его сервисов должно быть немедленно прекращено.

9. Права и обязанности оператора персональных данных

9.1 Оператор обязан:

• Издавать документы, определяющие требования в отношении обработки и защиты ПДн.
• Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки и защиты ПДн.
• Принимать необходимые организационные и технические меры по обеспечению безопасности персональных данных.
• Назначить лицо, ответственное за организацию обработки ПДн.
• По требованию субъекта ПДн немедленно прекратить обработку его ПДн в порядке, предусмотренном законодательством Российской Федерации.
• При предоставлении субъектом ПДн сведений о том, что обрабатываемые ПДн являются неполными, неточными или неактуальными, внести в них необходимые изменения и уведомить об этом субъекта ПДн в установленный законом срок.
• В случае прекращения обработки ПДн субъекта ПДн уничтожить его ПДн безопасным образом.
• Выполнять иные обязанности, предусмотренные законодательством Российской Федерации и локальными нормативными актами.

9.2 Оператор имеет право:

• В случае отзыва субъектом ПДн согласия на обработку его ПДн продолжить их обработку без согласия субъекта ПДн при наличии оснований, предусмотренных законодательством Российской Федерации.
• Получать ПДн субъекта ПДн от третьих лиц при условии получения согласия субъекта ПДн, а также в иных случаях, предусмотренных законодательством Российской Федерации.
• Поручать обработку ПДн субъекта ПДн третьим лицам при условии получения согласия субъекта ПДн, а также в иных случаях, предусмотренных законодательством Российской Федерации.
• Осуществлять иные права, предусмотренные законодательством Российской Федерации и локальными нормативными актами.

10. Меры обеспечения конфиденциальности и безопасности персональных данных

10.1 При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Обеспечение безопасности персональных данных достигается, в частности:

• оценкой эффективности мер по обеспечению безопасности персональных данных до начала использования таких мер;
• обнаружением фактов несанкционированного доступа к персональным данным и принятием мер по их устранению и недопущению повтора;
• восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;
• обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• проверкой наличия в договорах, заключаемых Оператором, с третьими лицами, пунктов об обеспечении конфиденциальности персональных данных и включением их, при необходимости, в договоры;
• контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

10.2 Третьи лица, получившие доступ к персональным данным по поручению Оператора, обязуются принимать необходимые организационные и технические меры к обеспечению конфиденциальности такой информации на своем персональном устройстве, с которого осуществляет обработку персональных данных.

10.3 Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в рамках законодательства Российской Федерации.

10.4 Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в ч. 1 ст. 15 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

11. Взаимодействие с субъектами персональных данных и третьими лицами

11.1 Взаимодействие с субъектами персональных данных

Субъект ПДн имеет права, предусмотренные разделом 6 настоящей Политики и законодательством Российской Федерации.

11.2 Взаимодействие с третьими лицами:

• Оператор может передавать ПДн следующим третьим лицам:
• Федеральная налоговая служба (ФНС России);
• Пенсионный фонд Российской Федерации;
• Фонд социального страхования Российской Федерации;
• курьерские службы;
• иные третьи лица, предоставление ПДн, которым является необходимым в силу действующего законодательства;
• контрагенты Оператора.

11.3 Поручение обработки персональных данных

• Оператор может поручать обработку ПДн другим лицам (третьим лицам), а также выступать в роли лица, осуществляющего обработку ПДн по поручению других операторов ПДн.
• Оператор поручает обработку ПДн третьим лицам только с согласия субъекта ПДн, если иное не предусмотрено действующим российским законодательством.

12. Порядок реагирования на утечки персональных данных

В случае обнаружения неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан сообщить в Роскомнадзор о произошедшем инциденте и о его предполагаемых причинах.

13. Прекращение обработки и уничтожение персональных данных

13.1 В случае выявления неточных персональных данных при обращении субъекта персональных данных Оператор обязан осуществить блокирование персональных данных, относящихся к этому Субъекту ПДн, с момента такого обращения на период проверки, если блокирование персональных данных не нарушает права и законные интересы Субъекта ПДн или третьих лиц.

13.2 В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных Субъектом ПДн, обязан уточнить персональные данные в установленный законом срок и снять блокирование персональных данных.

13.3 В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором, последний в срок, не превышающий 3 (трех) рабочих дней со дня этого выявления, обязан прекратить неправомерную обработку персональных данных. В случае если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, установленный законом, обязан уничтожить такие персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных.

13.4 В случае отзыва Субъектом ПДн согласия на их обработку Оператор обязан прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, установленный законом.

13.5 Оператор вправе продолжить использовать персональные данные о субъекте по итогу рассмотрения отзыва согласия на их обработку, обеспечив обезличивание такой информации.

14. Разрешение споров

14.1 До обращения в суд с иском по спорам, возникающим из отношений между Субъектом ПДн и Оператором, обязательным является предъявление претензии (письменного предложения о добровольном урегулировании спора).

14.2 Получатель претензии в течение 30 (тридцати) календарных дней со дня получения претензии, письменно уведомляет заявителя претензии о результатах рассмотрения претензии.

14.3 При недостижении соглашения спор будет передан на рассмотрение в судебный орган по месту регистрации Оператора в соответствии с действующим законодательством РФ.

14.4 К настоящей Политике обработки персональных данных и отношениям между Субъектом ПДн и Оператором применяется действующее законодательство РФ. Оператор вправе продолжить использовать персональные данные о субъекте по итогу рассмотрения отзыва согласия на их обработку, обеспечив обезличивание такой информации.

14.5 Субъект ПДн может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты, указанной на Сайте в разделе «Контакты».

15. Порядок пересмотра и внесения изменений в настоящую Политику

Пересмотр положений настоящей Политики проводится в следующих случаях:

• по результатам проверок контролирующих органов исполнительной власти Российской Федерации, выявивших несоответствия требованиям по обеспечению безопасности ПДн;
• при появлении новых требований к обеспечению безопасности ПДн со стороны российского законодательства и контролирующих органов исполнительной власти Российской Федерации;
• по результатам внутреннего контроля (аудита) системы защиты ПДн, в случае выявления существенных нарушений;
• по результатам расследования инцидентов информационной безопасности, связанных с обработкой и обеспечением безопасности ПДн и выявивших недостатки системы защиты;
• при рассмотрении вопросов применения новых средств и методов защиты ПДн, существенно отличающихся от применяемых Оператором;
• в иных случаях по усмотрению Оператора.

Лицом, ответственным за пересмотр настоящей Политики и составление рекомендаций по изменению, является ответственный за организацию обработки ПДн.

Приложение №1 - Согласие на обработку персональных данных.