Политика в отношении обработки персональных данных
1. Общие положения
1.1 Настоящая Политика в отношении обработки персональных данных (далее - Политика) определяет порядок обработки и защиты информации о субъектах персональных данных (далее - Субъекты ПДн). Политика основывается на Конституции Российской Федерации, составлена в соответствии с пунктом 2 статьи 18.1 Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 г., а также других федеральных законов в области персональных данных (далее - «Законодательство о персональных данных»), определяющих порядок обработки персональных данных и принимаемые меры по защите и обеспечению безопасности персональных данных.
1.2 Политика применяется ко всей информации, которую Оператор может получить в рамках осуществления своей деятельности от Субъектов ПДн, включая информацию полученную посредством данного сайта (далее - Сайт).
1.3 Целью настоящей Политики является обеспечение надлежащей защиты информации о Субъектах ПДн, в том числе их персональных данных, от несанкционированного доступа и разглашения.
2. Термины и определения
2.1 Персональные данные Пользователя (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому Пользователю.
2.2 Оператор персональных данных (Оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
3. Принципы обработки персональных данных
3.1 Обработка ПДн Оператором осуществляется на основе следующих принципов:
- обработка ПДн осуществляется на законной и справедливой основе;
- обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
- обработке подлежат только ПДн, которые отвечают целям их обработки;
- обрабатываемые ПДн не являются избыточными по отношению к заявленным целям их обработки;
- хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, и они подлежат уничтожению по достижению целей обработки или в случае утраты необходимости в их достижении.
4. Обработка персональных данных на Сайте
4.1 В рамках настоящей Политики под «персональными данными пользователя» (субъекта персональных данных) понимаются:
- Персональная информация, которую пользователь предоставляет о себе на Сайте, самостоятельно при оставлении заявки или в ином процессе использования Сайта, в том числе: фамилия, имя, отчество; мобильный телефон; адрес электронной почты; ссылка на профиль в социальных сетях; фотографии; IP-адрес, информация о браузере Субъекта ПДн, информация из cookie, данные геолокации и иные данные, сбор и обработка которых происходит автоматически на сайте, принадлежащем Оператору.
- Данные, которые автоматически передаются Сайтом в процессе его использования с помощью установленного на устройстве пользователя программного обеспечения, в том числе IP-адрес, технические характеристики оборудования и программного обеспечения, информация из cookie, информация о браузере Субъектах ПДн (или иной программе, с помощью которой осуществляется доступ к сайту), время доступа, адрес запрашиваемой страницы, другие данные о посетителях от сервисов статистики посещаемости.
5. Субъекты персональных данных
5.1 Цели обработки ПДн происходят, в том числе из анализа правовых актов, регламентирующих деятельность Оператора, целей фактически осуществляемой Оператором деятельности, а также деятельности, которая предусмотрена учредительными документами Оператора, и конкретных бизнес-процессов Оператора в конкретных информационных системах ПДн.
6. Перечень подразделений и работников
6.1 В компании утвержден Перечень подразделений и работников, допущенных к работе с ПДн, обрабатываемыми в компании.
7. Порядок и условия обработки персональных данных
7.1 Способы обработки персональных данных:
- автоматизированная обработка;
- неавтоматизированная обработка (без использования средств автоматизации);
- смешанная обработка.
7.2 Действия (операции) с персональными данными:
- Оператор осуществляет следующие действия (операции) с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, предоставление, блокирование, удаление, уничтожение персональных данных.
7.3 Сбор персональных данных:
- Оператор получает ПДн:
- непосредственно от субъекта ПДн;
- от третьего лица или с целью исполнения требований нормативных правовых актов Российской Федерации, а также в иных случаях, когда это не противоречит действующему законодательству Российской Федерации.
7.4 Накопление и хранение персональных данных:
- Оператор осуществляет накопление ПДн следующими способами:
- внесение сведений в учетные формы (на бумажные носители и в базы данных автоматизированных систем).
7.5 Блокирование персональных данных:
- Блокирование ПДн осуществляется в следующих случаях:
- по требованию Субъекта ПДн;
- по требованию уполномоченных органов по защите прав Субъектов ПДн;
- по результатам внутренних контрольных мероприятий.
7.6 Уничтожение персональных данных:
- ПДн подлежат уничтожению в следующих случаях:
- по достижении целей обработки или в случае утраты необходимости в их достижении;
- получение соответствующего запроса субъекта ПДн, при условии, что запрос не противоречит требованиям нормативных правовых актов Российской Федерации;
- получение соответствующего предписания от уполномоченного органа по защите прав субъектов ПДн;
- по истечении сроков хранения ПДн;
- в случае ликвидации Оператора.
7.7 Субъект ПДн принимает условия Политики и дает Оператору информированное и осознанное согласие на обработку своих персональных данных на условиях, предусмотренных Политикой и Законом:
- При направлении заявки на Сайте -- для персональных данных, которые Субъект ПДн предоставляет Оператору: путем заполнения формы для заявки.
- При любом использовании Сайта для персональных данных, которые автоматически передаются Оператору в процессе использования Сайта с помощью установленного на устройстве Пользователя программного обеспечения (файлы сookie).
7.8 Субъект ПДн дает Оператору согласие на обработку соответствующих персональных данных, перечень которых указан в настоящей Политике, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление третьим лицам, доступ), обезличивание, блокирование, удаление, уничтожение с использованием и без использования средств автоматизации в соответствии с целями, указанными в настоящем разделе.
8. Права и ответственность субъектов персональных данных
8.1 Субъекты ПДн имеют право:
- принимать решение о предоставлении своих ПДн Оператору и третьим лицам и давать согласие на их обработку свободно, своей волей и в своем интересе;
- отозвать свое согласие на обработку ПДн;
- получить от Оператора информацию, касающуюся обработки их ПДн посредством направления соответствующего запроса;
- требовать от Оператора уточнения ПДн, их блокирования или уничтожения, в случае если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки;
- требовать прекращения обработки их ПДн в целях продвижения товаров, работ услуг на рынке путем осуществления прямых контактов с ними с помощью средств связи;
- обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке, если субъект ПДн считает, что Оператор осуществляет обработку его ПДн с нарушением требований законодательства Российской Федерации или иным образом нарушает его права и свободы;
- осуществлять иные права, предусмотренные законодательством Российской Федерации.
8.2 Ответственность пользователя:
- Субъекты ПДн обязаны предоставлять Оператору только достоверные персональные данные и своевременно сообщать об их изменении.
- Оператор не осуществляет намеренно обработку персональных данных несовершеннолетних лиц. Оператор рекомендует пользоваться сайтом лицам, достигшим 18 лет.
- Оператор не несет ответственности за обработку персональных данных третьих лиц, которые получатель услуг Оператора сообщил как свои собственные.
- В случае несогласия Субъекта ПДн полностью либо в части с условиями настоящей Политики - использование Сайта и его сервисов должно быть немедленно прекращено.
9. Права и обязанности оператора персональных данных
9.1 Оператор обязан:
- Издавать документы, определяющие требования в отношении обработки и защиты ПДн.
- Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки и защиты ПДн.
- Принимать необходимые организационные и технические меры по обеспечению безопасности персональных данных.
- Назначить лицо, ответственное за организацию обработки ПДн.
- По требованию субъекта ПДн немедленно прекратить обработку его ПДн в порядке, предусмотренном законодательством Российской Федерации.
- При предоставлении субъектом ПДн сведений о том, что обрабатываемые ПДн являются неполными, неточными или неактуальными, внести в них необходимые изменения и уведомить об этом субъекта ПДн в установленный законом срок.
- В случае прекращения обработки ПДн субъекта ПДн уничтожить его ПДн безопасным образом.
- Выполнять иные обязанности, предусмотренные законодательством Российской Федерации и локальными нормативными актами.
9.2 Оператор имеет право:
- В случае отзыва субъектом ПДн согласия на обработку его ПДн продолжить их обработку без согласия субъекта ПДн при наличии оснований, предусмотренных законодательством Российской Федерации.
- Получать ПДн субъекта ПДн от третьих лиц при условии получения согласия субъекта ПДн, а также в иных случаях, предусмотренных законодательством Российской Федерации.
- Поручать обработку ПДн субъекта ПДн третьим лицам при условии получения согласия субъекта ПДн, а также в иных случаях, предусмотренных законодательством Российской Федерации.
- Осуществлять иные права, предусмотренные законодательством Российской Федерации и локальными нормативными актами.
10. Меры обеспечения конфиденциальности и безопасности персональных данных
10.1 При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Обеспечение безопасности персональных данных достигается, в частности:
- оценкой эффективности мер по обеспечению безопасности персональных данных до начала использования таких мер;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер по их устранению и недопущению повтора;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;
- обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- проверкой наличия в договорах, заключаемых Оператором, с третьими лицами, пунктов об обеспечении конфиденциальности персональных данных и включением их, при необходимости, в договоры;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
10.2 Третьи лица, получившие доступ к персональным данным по поручению Оператора, обязуются принимать необходимые организационные и технические меры к обеспечению конфиденциальности такой информации на своем персональном устройстве, с которого осуществляет обработку персональных данных.
10.3 Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в рамках законодательства Российской Федерации.
10.4 Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в ч. 1 ст. 15 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
11. Взаимодействие с субъектами персональных данных и третьими лицами
11.1 Взаимодействие с субъектами персональных данных
Субъект ПДн имеет права, предусмотренные разделом 6 настоящей Политики и законодательством Российской Федерации.
11.2 Взаимодействие с третьими лицами:
- Оператор может передавать ПДн следующим третьим лицам:
- Федеральная налоговая служба (ФНС России);
- Пенсионный фонд Российской Федерации;
- Фонд социального страхования Российской Федерации;
- курьерские службы;
- иные третьи лица, предоставление ПДн, которым является необходимым в силу действующего законодательства;
- контрагенты Оператора.
11.3 Поручение обработки персональных данных
- Оператор может поручать обработку ПДн другим лицам (третьим лицам), а также выступать в роли лица, осуществляющего обработку ПДн по поручению других операторов ПДн.
- Оператор поручает обработку ПДн третьим лицам только с согласия субъекта ПДн, если иное не предусмотрено действующим российским законодательством.
12. Порядок реагирования на утечки персональных данных
В случае обнаружения неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан сообщить в Роскомнадзор о произошедшем инциденте и о его предполагаемых причинах.
13. Прекращение обработки и уничтожение персональных данных
13.1 В случае выявления неточных персональных данных при обращении субъекта персональных данных Оператор обязан осуществить блокирование персональных данных, относящихся к этому Субъекту ПДн, с момента такого обращения на период проверки, если блокирование персональных данных не нарушает права и законные интересы Субъекта ПДн или третьих лиц.
13.2 В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных Субъектом ПДн, обязан уточнить персональные данные в установленный законом срок и снять блокирование персональных данных.
13.3 В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором, последний в срок, не превышающий 3 (трех) рабочих дней со дня этого выявления, обязан прекратить неправомерную обработку персональных данных. В случае если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, установленный законом, обязан уничтожить такие персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных.
13.4 В случае отзыва Субъектом ПДн согласия на их обработку Оператор обязан прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, установленный законом.
13.5 Оператор вправе продолжить использовать персональные данные о субъекте по итогу рассмотрения отзыва согласия на их обработку, обеспечив обезличивание такой информации.
14. Разрешение споров
14.1 До обращения в суд с иском по спорам, возникающим из отношений между Субъектом ПДн и Оператором, обязательным является предъявление претензии (письменного предложения о добровольном урегулировании спора).
14.2 Получатель претензии в течение 30 (тридцати) календарных дней со дня получения претензии, письменно уведомляет заявителя претензии о результатах рассмотрения претензии.
14.3 При недостижении соглашения спор будет передан на рассмотрение в судебный орган по месту регистрации Оператора в соответствии с действующим законодательством РФ.
14.4 К настоящей Политике обработки персональных данных и отношениям между Субъектом ПДн и Оператором применяется действующее законодательство РФ. Оператор вправе продолжить использовать персональные данные о субъекте по итогу рассмотрения отзыва согласия на их обработку, обеспечив обезличивание такой информации.
14.5 Субъект ПДн может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты, указанной на Сайте в разделе «Контакты».
15. Порядок пересмотра и внесения изменений в настоящую Политику
Пересмотр положений настоящей Политики проводится в следующих случаях:
- по результатам проверок контролирующих органов исполнительной власти Российской Федерации, выявивших несоответствия требованиям по обеспечению безопасности ПДн;
- при появлении новых требований к обеспечению безопасности ПДн со стороны российского законодательства и контролирующих органов исполнительной власти Российской Федерации;
- по результатам внутреннего контроля (аудита) системы защиты ПДн, в случае выявления существенных нарушений;
- по результатам расследования инцидентов информационной безопасности, связанных с обработкой и обеспечением безопасности ПДн и выявивших недостатки системы защиты;
- при рассмотрении вопросов применения новых средств и методов защиты ПДн, существенно отличающихся от применяемых Оператором;
- в иных случаях по усмотрению Оператора.
Лицом, ответственным за пересмотр настоящей Политики и составление рекомендаций по изменению, является ответственный за организацию обработки ПДн.
Приложение №1 - Согласие на обработку персональных данных.