АВН
Великий Новгород, ул. Парковая, д. 23, корп. 3
+7 (8162) 64-99-99

Политика обработки и защиты персональных данных в ООО «АВН»

(редакция от 01.09.2022 г.)

1.Общие положения

1.1.Настоящая Политика в отношении обработки и защиты персональных данных в ООО «АВН» (далее – Политика) разработана в соответствии с /1/ в целях реализации ООО «АВН» (далее – Общество, Оператор) положений Законодательства РФ, которыми определены случаи и особенности обработки персональных данных, а также установлены требования к обработке персональных данных, и направлена на обеспечение защиты прав и свобод человека и гражданина (Субъекта персональных данных) при организации и/или осуществлении обработки его персональных данных Оператором, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну1.

1.2.Политика является основой для организации обработки и защиты персональных данных в Обществе, в том числе для разработки локальных нормативных актов (ВНД/ОРД), регламентирующих порядок обработки и защиты персональных данных в Обществе, и определяет:

  • принципы обработки персональных данных, которыми руководствуется Оператор при осуществлении деятельности;
  • правовые основания обработки персональных данных;
  • цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории Субъектов персональных данных, персональные данные которых обрабатываются, способы, сроки обработки и хранения персональных данных, порядок их уничтожения;
  • основных участников системы управления процессом обработки и защиты персональных данных;
  • основы организации процесса управления обработкой персональных данных;
  • основы порядка рассмотрения обращений Субъектов персональных данных по вопросам обработки персональных данных;
  • меры обеспечения конфиденциальности и безопасности персональных данных;
  • права и обязанности Оператора и Субъектов персональных данных.

1.3.Требования настоящей Политики являются обязательными для исполнения всеми Работникам Оператора.

1.4.Ознакомление Работников Оператора с условиями, в том числе с изменениями условий настоящей Политики, осуществляется под подпись с учётом требований, предусмотренных /4/, /25/ и ВНД/ОРД Оператора.

1.5.Субъекты персональных данных могут ознакомиться с условиями настоящей Политики в информационно-телекоммуникационной сети «Интернет» на официальном Сайте(сайтах) Оператора.

1.6.Термины, используемые в настоящей Политике, приведены по тексту Приложения 1. В случае отсутствия в Приложении 1 используемого термина толкование и применение термина при необходимости осуществляется в соответствии с положениями применимых нормативных правовых актов РФ.

1.7.Для страниц Сайта(сайтов) и/или приложений, посредством которых Оператором осуществляется сбор персональных данных, с целью ознакомления Субъектов персональных данных с более детальной информацией об обработке персональных данных и принимаемых мерах по их защите, Оператор вправе разрабатывать дополнительные документы (частные политики) по вопросам обработки и защиты персональных данных, сбор которых осуществляется через такие страницы Сайта и/или приложения, и размещать их на соответствующих страницах Сайта и/или в приложениях. При этом обозначенные документы (частные политики) не могут противоречить требованиям Законодательства РФ и положениям настоящей Политики.

1.8.В отношении Сайта Оператора:

1.8.1.Использование Пользователем Сайта означает согласие с настоящей Политикой и условиями Обработки ПДн Пользователя. В случае несогласия с условиями настоящей Политики Пользователь должен немедленно прекратить использование Сайта.

1.8.2.Оператор обрабатывает персональные данные Пользователя в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на Сайте или направленные Оператору посредством электронной почты. Заполняя соответствующие формы на Сайте и/или отправляя свои персональные данные Оператору, Пользователь выражает своё согласие с данной Политикой. В установленных случаях Пользователь при предоставлении Оператору персональных данных должен ознакомиться с формой Согласия об обработке персональных данных и путём постановки значка согласия в чек-боксе формы на Сайте предоставить соответствующее согласие до направления персональных данных Оператору.

1.8.3.При сборе персональных данных на Сайте Оператор использует безопасное соединение.

1.8.4.Оператор не проверяет достоверность персональных данных, предоставленных СПДн, и не имеет возможности оценить его дееспособность. Однако Оператор исходит из того, что субъект ПДн предоставляет достоверные и достаточные данные и поддерживает эту информацию в актуальном состоянии.

1.8.5.Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и(или) использование технологии JavaScript).

1.8.6.Сайт может содержать гиперссылки на другие веб-сайты, предоставленные третьими лицами. Оператор не контролирует такие сторонние веб-сайты или информацию, размещённую на таких веб-сайтах. Оператор не несёт ответственности за защиту и конфиденциальность любой информации, предоставленной Субъектом ПДн на веб-сайтах третьих лиц, после того как он покинул Сайт.

1.8.7.Особенности обработки персональных данных Пользователей на Сайтах Оператора установлены в Приложении № 5 к настоящей Политике.

1.9.Настоящая Политика вступает в силу с момента ее утверждения и действует бессрочно, до замены ее новой Политикой.

2.Принципы обработки персональных данных

Организация обработки и защиты персональных данных в Обществе, а также реализация процессов, в которых осуществляется обработка персональных данных, производится с учётом общих принципов обработки персональных данных, закреплённых в /1/, которые являются основой соблюдения требований Законодательства РФ, обеспечения конфиденциальности и безопасности персональных данных Субъектов персональных данных, а также защиты прав Субъектов персональных данных. Среди таких принципов:

  • осуществление обработки персональных данных на законной и справедливой основе;
  • обеспечение ограничения обработки персональных данных заранее определёнными и законными целями обработки персональных данных, в том числе недопущение обработки персональных данных, несовместимой с целями сбора (получения) персональных данных;
  • обработка исключительно тех персональных данных, которые отвечают целям обработки персональных данных;
  • недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обеспечение соответствия содержания и объёма обрабатываемых персональных данных заявленным целям обработки персональных данных, в том числе недопущение обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
  • обеспечение точности персональных данных, их достаточности и в необходимых случаях актуальности по отношению к целям обработки персональных данных;
  • осуществление хранения персональных данных в форме, позволяющей определить Субъекта персональных данных не дольше, чем этого требуют цели их обработки, если иной срок хранения персональных данных не установлен Законодательством РФ, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных;
  • уничтожение или обеспечение уничтожения персональных данных (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора), по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законодательством РФ.

3.Правовые основания обработки персональных данных

Правовые основания обработки персональных данных Субъектов персональных данных устанавливаются с учётом определённых /1/ условий обработки персональных данных. Правовыми основаниями обработки персональных данных, на основании которых допускается обработка персональных данных в Операторе, являются:

3.1.согласие Субъекта персональных данных на обработку персональных данных с учётом требований, предусмотренных Законодательством РФ для соответствующей категории персональных данных;

3.1.1.Субъект ПДн принимает решение о предоставлении его персональных данных и даёт согласие на их обработку свободно, своей волей и в своём интересе. Бездействие субъекта ПДн не может приниматься как согласие. Согласие на обработку ПДн должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие с условиями политики может быть выражено субъектом ПДн в том числе и через совершение любого из следующих действий:

3.1.1.1.Постановка символа в чек-боксе (в поле для ввода) на Сайте Оператора рядом с текстом вида «Я даю согласие на обработку персональных данных на условиях Политики обработки и защиты персональных данных», при условии, что Пользователю в каждом месте сбора персональных данных предоставлена возможность ознакомиться с полным текстом настоящей Политики,

3.1.2.Предоставления Субъектом ПДН Согласия на обработку ПДн в письменном виде.

3.2.положения нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, включая, но не ограничиваясь, /2/, /3/, /4/, /5/, /6/, /7/, /8/, /9/, /10/, /11/, /12/, /13/, /14/, /15/, /16/;

3.3.судебные акты, акты другого органа или должностного лица, подлежащие исполнению Оператором в соответствии с положениями законодательства РФ об исполнительном производстве;

3.4.договор, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных, если обработка персональных данных необходима для заключения указанного договора или исполнения обязательств по договору;

3.5.обеспечение и/или осуществление защиты жизни, здоровья или иных жизненно важных интересов Субъекта персональных данных, если получение согласия Субъекта персональных данных невозможно;

3.6.права и законные интересы Оператора, Третьих лиц, Партнёров, иных лиц либо достижение общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта персональных данных;

3.7.обработка персональных данных в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;

3.8.обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с Законодательством РФ и иными применимыми нормативными правовыми актами РФ.

4.Цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки обработки и хранения персональных данных, порядок их уничтожения

Обработка персональных данных Субъектов персональных данных осуществляется Оператором в заранее определённых целях. В зависимости от конкретных целей обработки персональных данных такая обработка может включать в себя, в частности, совершение всех или некоторых из следующих действий (операций) с персональными данными: сбор (получение), запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Для каждой цели обработки персональных данных в Операторе определены:

  • соответствующие категории и перечень обрабатываемых персональных данных;
  • категории Субъектов персональных данных, персональные данные которых обрабатываются Оператором;
  • способы и сроки обработки и хранения персональных данных;
  • порядок уничтожения персональных данных.

4.1.Цели обработки персональных данных и соответствующие им категории и перечень обрабатываемых персональных данных, категории Субъектов персональных данных приведены в Приложении 4 к настоящей Политике, являющемся её неотъемлемой частью.

4.2.Для каждой указанной в Приложении 4 к настоящей Политике цели обработки персональных данных предусмотрены следующие способы обработки персональных данных: автоматизированная обработка персональных данных (с использованием средств вычислительной техники) и неавтоматизированная обработка персональных данных (без использования средств вычислительной техники) с фиксацией персональных данных на Материальных носителях. Обработка Оператором персональных данных автоматизированным способом (в ИСПДн) и неавтоматизированным способом осуществляется с соблюдением требований Законодательства РФ и положений ВНД Оператора, регламентирующих вопросы обработки и защиты персональных данных. При обработке персональных данных автоматизированном способом Оператор принимает необходимые меры по обеспечению безопасности обрабатываемых персональных данных, в том числе с учётом требований /17/. Обработка персональных данных неавтоматизированном способом, в том числе хранение Материальных носителей персональных данных, осуществляется в помещениях, обеспечивающих их сохранность, с возможностью определить места хранения персональных данных (Материальных носителей) в порядке, предусмотренном Законодательством РФ, в том числе /19/.

4.3.Сроки обработки и хранения персональных данных для каждой указанной в Приложении 4 к настоящей Политике цели обработки персональных данных устанавливаются с учётом соблюдения требований, в том числе условий обработки персональных данных, определённых Законодательством РФ, и/или с учётом положений договора, стороной, выгодоприобретателем или поручителем по которому выступает Субъект персональных данных, и/или согласия Субъекта персональных данных на обработку его персональных данных, при этом обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если иное не установлено Законодательством РФ.

4.4.Порядок уничтожения персональных данных:

Уничтожение персональных данных, обработка которых осуществляется в рамках целей, указанных в Приложении 4 к настоящей Политике, производится в следующих случаях:

  • при достижении цели (целей) обработки персональных данных или в случае утраты необходимости в достижении цели (целей) обработки персональных данных, если иное не установлено /1/ и/или иными применимыми нормативными правовыми актами РФ;
  • при выявлении факта неправомерной обработки персональных данных;
  • при отзыве Субъектом персональных данных согласия на обработку персональных данных, если иное не предусмотрено /1/;
  • при предъявлении Субъектом персональных данных требования о прекращении обработки персональных данных, если иное не установлено /1/.

Способы уничтожения персональных данных определяются ВНД Оператора по вопросам обработки и защиты персональных данных в зависимости от способов обработки персональных данных и Материальных носителей персональных данных, на которых осуществляется запись и хранение персональных данных. Факт уничтожения персональных данных подтверждается в порядке, предусмотренном п. 6.8. настоящей Политики.

5.Основные участники системы управления процессом обработки и защиты персональных данных

В целях обеспечения эффективного управления организацией обработки и защиты персональных данных, а также выполнения обязанностей, предусмотренных Законодательством РФ для Операторов персональных данных, в Операторе определены основные участники указанной системы управления и их функции.

5.1.Директор

Директор Оператора определяет, рассматривает и утверждает Политику Оператора в отношении обработки и защиты персональных данных.

5.2.Комиссия для организации работ по защите персональных данных

Комиссия для организации работ по защите персональных данных принимает решения по реализации действий Оператора, связанных с использованием персональных данных, подверженных риску.

5.3.Лицо, ответственное за организацию обработки и защиту персональных данных

В функции лица, ответственного за организацию обработки и защиту персональных данных, входят, в частности:

  • управление процессом организации обработки и защиты персональных данных в соответствии с требованиями Законодательства РФ, настоящей Политики, а также ВНД Оператора по вопросам обработки и защиты персональных данных;
  • разработка ВНД по вопросам обработки и защиты персональных данных;
  • организация ознакомления Работников Оператора с положениями Законодательства РФ, настоящей Политики, ВНД Оператора по вопросам обработки и защиты персональных данных
  • организация и осуществление экспертизы процессов, в рамках которых осуществляется обработка персональных данных, и/или ВНД Оператора по вопросам обработки и защиты персональных данных;
  • организация и осуществление имплементации требований ВНД Оператора по вопросам обработки и защиты персональных данных в процессы Оператора, в рамках которых осуществляется обработка персональных данных;
  • организация и осуществление оценки вреда, который может быть причинён Субъектам персональных данных в случае нарушения Оператором требований Законодательства РФ, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных /1/;
  • разработка и организация применения правовых, организационных и технических мер защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных;
  • организация и осуществление оценки эффективности принимаемых мер по обеспечению безопасности персональных данных;
  • обеспечение внутреннего контроля за соблюдением Оператором и его Работниками требований Законодательства РФ, настоящей Политики, иных ВНД Оператора по вопросам обработки и защиты персональных данных;
  • осуществление контроля за приёмом и обработкой обращений и запросов Субъектов персональных данных или их Представителей, обладающих полномочиями на представление интересов Субъектов персональных данных, по вопросам обработки персональных данных Субъектов персональных данных;
  • взаимодействие с Надзорным органом и иными компетентными органами (государственными органами, государственными учреждениями, государственными внебюджетными фондами, муниципальными органами) по вопросам обработки и защиты персональных данных в Операторе;
  • обеспечение уведомления Надзорного органа об изменении сведений об обработке персональных данных, а также о намерении Оператора осуществлять трансграничную передачу персональных данных в целях обеспечения защиты прав Субъектов персональных данных;
  • осуществление уведомления Надзорного органа об указанных в /1/ обстоятельствах в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлёкшей нарушение прав Субъектов персональных данных.
  • осуществление мониторинга законодательства и доведение до сведения заинтересованных подразделений информации об изменении правовых норм;
  • обеспечение правовой защиты интересов Оператора при рассмотрении административных дел, а также гражданско-правовых, трудовых и иных споров по вопросам обработки и защиты персональных данных.

Лицо, ответственное за организацию обработки и защиту персональных данных, при исполнении возлагаемых на него функций вправе:

  • делегировать2 функции, предусмотренные для лица, ответственного за организацию обработки и защиту персональных данных, положениями Законодательства РФ, настоящей Политики, иных ВНД Оператора, лицам, обязанным исполнять указания/поручения по реализации указанных функций в порядке, установленном ВНД Оператора;
  • направлять указания и поручения по вопросам обработки и защиты персональных данных в порядке, предусмотренном ВНД Оператора, в адрес подразделений и Работников Оператора, осуществляющих обработку персональных данных и/или имеющих доступ к персональным данным. Исполнение таких указаний и поручений является обязательным для всех подразделений и Работников Оператора.

В целях соблюдения требований Законодательства РФ, прав Субъектов персональных данных лицом, ответственным за организацию обработки и защиту персональных данных, осуществляется контроль:

  • соответствия обработки персональных данных в процессах Оператора, в рамках которых осуществляется обработка персональных данных, положениям Законодательства РФ, ВНД Оператора;
  • соблюдения иными лицами, которым Оператором поручена обработка персональных данных, требований, предусмотренных /1/, а также условий заключённых договоров.

5.4.Владельцы процессов и ИСПДн

Владельцы процессов и ИСПДн обеспечивают разработку и функционирование процессов и ИСПДн, в которых осуществляется обработка персональных данных, в соответствии с положениями Законодательства РФ, ВНД Оператора по вопросам обработки и защиты персональных данных.

6. Организация процесса управления обработкой персональных данных

6.1.Обрабатывая персональные данные, Оператор руководствуется принципами, а также требованиями к порядку и условиям обработки персональных данных, установленным положениями Законодательства РФ, настоящей Политики, иных ВНД Оператора.

6.2.Осуществление сбора (получения) и дальнейшие действия (операции) по обработке персональных данных производятся при соблюдении прав и законных интересов Субъектов персональных данных в рамках утверждённых процессов и/или ВНД/ОРД Оператора, определяющих, в частности:

6.3.правовые основания (условия) и источники сбора (получения) персональных данных;

  • цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории Субъектов персональных данных;
  • сроки обработки и хранения персональных данных;
  • обязанности Владельцев процессов и ИСПДн, этапы/операции (действия) и способы обработки персональных данных;
  • порядок доступа Работников Оператора к персональным данным и их обработке;
  • порядок передачи персональных данных Третьим лицам/Партнёрам Оператора/иным лицам (если применимо, в том числе государственным органам и/или учреждениям, государственным внебюджетным фондам, муниципальным органам), порядок распространения персональных данных в отношении неопределённого круга лиц;
  • порядок уточнения (обновления, изменения) персональных данных;
  • порядок архивного хранения персональных данных;
  • порядок прекращения обработки и уничтожения/обеспечения уничтожения персональных данных (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора).

Указанные процессы и/или ВНД/ОРД Оператора не могут противоречить положениям Законодательства РФ и настоящей Политики. В случае противоречия между процессами и/или ВНД/ОРД Оператора и положениями Законодательства РФ и/или настоящей Политики указанные процессы и/или ВНД/ОРД Оператора должны быть приведены в соответствие с положениями настоящей Политики и Законодательства РФ.

6.4.В Обществе определяется перечень лиц, осуществляющих обработку персональных данных. Доступ к обрабатываемым персональным данным предоставляется только тем Работникам Оператора, которым он необходим для выполнения ими конкретных функций в рамках исполнения должностных обязанностей. В должностные инструкции Работников Оператора и/или в трудовые договоры, в том числе, если применимо, в дополнительные соглашения к трудовым договорам, включаются обязанности по обеспечению конфиденциальности и безопасности персональных данных и меры ответственности за их невыполнение. До начала обработки персональных данных Работники Оператора, в трудовые функции и обязанности которых входит осуществление обработки персональных данных, ознакомляются под подпись с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, а также с требованиями ВНД Оператора, регламентирующих вопросы обработки и защиты персональных данных.

В части обработки персональных данных Работников Оператора Оператор, в том числе, руководствуется специальными требованиями /4/.

6.5.При обработке персональных данных в Обществе обеспечивается своевременное уточнение (обновление, изменение) персональных данных Субъекта персональных данных, которое осуществляется, в частности, в случае подтверждения факта неточности персональных данных на основании:

  • обращения к Оператору Субъекта персональных данных, его Представителя (обладающего полномочиями на представление интересов Субъекта персональных данных), Надзорного органа с документами, подтверждающими факт неточности и изменение персональных данных;
  • установления Оператором расхождений между ранее полученными персональными данными Субъекта персональных данных и персональными данными, предоставляемыми Субъектом персональных данных, его Представителем, (обладающим полномочиями на представление интересов Субъекта персональных данных), Надзорным органом наряду с подтверждающими документами.

6.6.Получение Оператором персональных данных от Третьего лица/Партнёра/иных лиц (если применимо) и/или передача (предоставление, доступ) персональных Третьему лицу/Партнёру/иному лицу (если применимо), а также поручение обработки персональных данных Третьему лицу/Партнёру/иному лицу (если применимо) допускается с согласия Субъекта персональных данных на обработку персональных данных, в том числе предоставленного Третьему лицу/Партнёру, или при наличии иных оснований, предусмотренных Законодательством РФ. Получение Оператором персональных данных от Третьего лица/Партнёра/иного лица (если применимо) и/или передача (предоставление, доступ) персональных данных Третьему лицу/Партнёру/иному лицу (если применимо), а также поручение обработки персональных данных Третьему лицу/Партнёру/иному лицу (если применимо) осуществляется на основании соответствующего договора с Третьим лицом/Партнёром/иным лицом (если применимо), включающего в себя условия обработки персональных данных, требования к обеспечению конфиденциальности и безопасности персональных данных при их обработке и иные требования в соответствии с /1/.

Передача персональных данных государственным органам власти и учреждениям, муниципальным органам власти, государственным внебюджетным фондам, а также получение персональных данных от государственных органов власти и учреждений, муниципальных органов власти, государственных внебюджетных фондов допускается в отсутствие согласия Субъекта персональных данных на обработку его персональных данных в порядке и в случаях, предусмотренных Законодательством РФ.

Трансграничная передача персональных данных может осуществляться с учётом условий и ограничений, установленных /1/. До начала Трансграничной передачи персональных данных проводится оценка мер, принимаемых Третьим лицом/иным лицом (если применимо), которому планируется Трансграничная передача персональных данных, по обеспечению конфиденциальности и безопасности персональных данных. Порядок проведения оценки устанавливается ВНД Оператора. О планируемой трансграничной передаче персональных данных Оператор уведомляет Надзорный орган в порядке, предусмотренном Законодательством РФ и ВНД Оператора.

6.7.Обработка персональных данных прекращается при достижении целей такой обработки, а также по истечении срока, предусмотренного Законодательством РФ, договором или согласием Субъекта персональных данных на обработку его персональных данных. В случае отзыва Субъектом персональных данных согласия на обработку его персональных данных и/или требования о прекращении обработки персональных данных Оператор вправе продолжить обработку персональных данных без согласия Субъекта персональных данных при условии наличия оснований (условий обработки персональных данных), предусмотренных /1/.

6.8.В случае отсутствия у Оператора правовых оснований на обработку персональных данных (условий обработки персональных данных) Оператор в порядке, установленном /1/, производит уничтожение персональных данных или обеспечивает их уничтожение (если обработка персональных данных осуществляется лицом, действующим по поручению Оператора). Уничтожение производится посредством осуществления действий, в результате которых становится невозможным восстановить содержание персональных данных в ИСПДн и/или в результате которых уничтожаются Материальные носители персональных данных. По результатам проведённого уничтожения составляется акт об уничтожении персональных данных и формируется запись в электронном журнале регистрации событий в ИСПДн, в соответствии с требованиями /34/, установленными Надзорным органом, к документированию уничтожения персональных данных, или, в случае утраты силы, признания недействующим указанных требований полностью или в части, в соответствии с положениями Законодательства РФ.

7.Порядок рассмотрения обращений и/или запросов Субъектов персональных данных

В целях соблюдения прав и законных интересов Субъектов персональных данных, требований к срокам обработки обращений и/или запросов, обеспечения качества и полноты принятия мер в отношении законного требования Субъекта персональных данных и для предоставления необходимой информации по его обращению и/или запросу осуществляется приём и обработка обращений Субъектов персональных данных, а также контроль обеспечения такого приёма и обработки.

При рассмотрении обращений и/или запросов Субъектов персональных данных Оператор руководствуется положениями Законодательства РФ, согласно которым запрос и/или обращение, направляемый и/или направляемое Субъектом персональных данных, должен/должно содержать информацию, предусмотренную /1/.

Предоставление информации и/или принятие иных мер в связи с поступлением обращений и/или запросов от Субъектов персональных данных производится Оператором в объёме и сроки, предусмотренные Законодательством РФ. Установленный Законодательством РФ срок ответа субъекту на обращение и/или запрос о предоставлении информации, касающейся обработки его персональных данных, может быть продлён на основании установленных /1/ ограничений с направлением в адрес Субъекта персональных данных мотивированного уведомления, содержащего сведения о причинах продления срока предоставления запрашиваемой информации.

Оператор, получив обращение и/или запрос Субъекта персональных данных и убедившись в его законности, предоставляет Субъекту персональных данных и/или его Представителю, обладающему полномочиями на представление интересов Субъекта персональных данных, сведения, указанные в запросе, в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе, и/или принимает иные меры в зависимости от специфики (особенностей) обращения и/или запроса. Предоставляемые Оператором сведения не могут содержать персональные данные, принадлежащие другим Субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

Оператор вправе отказать Субъекту персональных данных в удовлетворении требований, указанных в обращении и/или запросе, путём направления Субъекту персональных данных или его Представителю мотивированного отказа, если у Оператора в соответствии с Законодательством РФ имеются законные основания отказать в выполнении/удовлетворении поступивших требований.

8.Меры обеспечения конфиденциальности и безопасности персональных данных

Для обеспечения конфиденциальности и безопасности персональных данных Субъектов персональных данных, защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии с /1/ Оператором принимаются необходимые правовые, организационные и технические меры или обеспечивается их принятие (если обработка персональных данных осуществляется лицом, действующим по поручению Оператора). В частности, принимаются следующие меры:

  • определяются актуальные угрозы безопасности персональных данных, обрабатываемых в ИСПДн, и применяются соответствующие организационные и технические меры защиты для установленных уровней защищённости персональных данных;

  • для нейтрализации актуальных угроз безопасности персональных данных применяются средства защиты информации, соответствующие уровням защищённости персональных данных и прошедшие в установленном порядке процедуру оценки соответствия;

  • проводится оценка эффективности принимаемых/реализованных мер защиты и обеспечения безопасности персональных данных, в том числе до ввода информационных систем в эксплуатацию (оценка может проводиться самостоятельно и/или с привлечением на договорной основе юридических лиц, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации);

  • обеспечиваются пропускной режим и управление доступом к персональным данным, техническим средствам, используемым при обработке персональных данных, средствам защиты информации, средствам обеспечения функционирования информационных систем, а также пропускной режим и управление доступом в помещения и сооружения, в которых установлены указанные средства;

  • обеспечиваются регистрация и учёт всех действий, совершаемых с персональными данными в ИСПДн;

  • осуществляется организация учета технических средств, входящих в состав ИСПДн, а также машинных носителей;

  • определяется и при необходимости актуализируется перечень лиц (Работников Оператора), которым для выполнения трудовых обязанностей необходим доступ к персональным данным, обработка которых производится в ИСПДн, а также обеспечивается предоставление доступа к обрабатываемым персональным данным тем Работникам Оператора, которым необходим указанный доступ в связи с выполнением ими трудовых обязанностей;

  • обеспечивается автоматическая регистрация событий безопасности, связанных с изменением прав доступа к персональным данным;

  • внедряются подсистемы аудита ИСПДн, которые осуществляют регистрацию и учёт действий, совершаемых с персональными данными;

  • обеспечивается доступ к содержанию событий безопасности ограниченному кругу лиц, в частности, реализуется размещение ИСПДн Оператора внутри защищённого периметра, расположенного в пределах контролируемой зоны;

  • реализуются меры, направленные на предупреждение и обнаружение фактов несанкционированного доступа к персональным данным, и принятие мер, в том числе мер по предупреждению, обнаружению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них;

  • обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним, обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

  • осуществляется эксплуатация разрешённого к использованию программного обеспечения и/или его компонентов, а также обеспечивается контроль за его установкой и обновлением;

  • осуществляется выявление инцидентов и реагирование на них, реализуются меры по устранению инцидентов в случае их появления;

  • проводится внешний и внутренний инструментальный контроль защищённости системных компонентов информационной структуры на наличие уязвимостей;

  • реализуется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищённости ИСПДн.

Помимо этого, проводится оценка вреда, который может быть причинен Субъектам персональных данных в случае нарушения /1/, а также соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных /1/.

9.Права и обязанности Оператора, права Субъекта персональных данных

9.1.Оператор обязан:

  • при обработке персональных данных соблюдать требования Законодательства РФ в отношении обработки и защиты персональных данных, в том числе требования, предусмотренные для сбора персональных данных;
  • при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных Субъектов персональных данных (граждан РФ) с использованием баз данных, находящихся на территории РФ, за исключением случаев, предусмотренных Законодательством РФ;
  • при сборе персональных данных с использованием информационно-телекоммуникационных сетей, опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего Оператору Сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети;
  • в случае, если предоставление персональных данных и/или согласия на их обработку является обязательным в соответствии с требованиями Законодательства РФ и Субъект персональных данных отказывается предоставить персональные данные и/или предоставить согласие на их обработку, разъяснить юридические последствия непредоставления персональных данных и/или согласия на их обработку;
  • в случае получения персональных данных не от Субъекта персональных данных до начала обработки персональных данных предоставить Субъекту персональных данных информацию, предусмотренную /1/, с учётом установленных Законодательством РФ исключений;
  • выполнять обязанности, предусмотренные для Операторов персональных данных, при получении запросов и/или обращений по вопросам персональных данных от Субъекта персональных данных и/или его Представителя (обладающего полномочиями на представление интересов Субъекта персональных данных), и/или от Надзорного органа;
  • принимать меры, направленные на обеспечение выполнения требований /1/;
  • принимать меры по обеспечению безопасности персональных данных при их обработке;
  • выполнять обязанности по устранению нарушений Законодательства РФ, если такие нарушения были допущены при обработке персональных данных, а также выполнять обязанности по уточнению, блокированию, уничтожению персональных данных в случаях, предусмотренных Законодательством РФ;
  • выполнять обязанности, установленные /1/ для Операторов персональных данных, в случае получения от Субъекта персональных данных требования о прекращении обработки персональных данных и/или отзыва согласия на обработку персональных данных;
  • взаимодействовать с Надзорным органом по вопросам, связанным с обработкой и защитой персональных данных, в случаях, предусмотренных /1/;
  • выполнять иные обязанности, предусмотренные Законодательством РФ.

9.2.Оператор имеет право:

  • обрабатывать персональные данные Субъектов персональных данных в отсутствие согласия на обработку персональных данных в случаях, предусмотренных /1/;
  • осуществлять передачу персональных данных Субъектов персональных данных Третьим лицам/Партнёрам, государственным органам, муниципальным органам власти, государственным учреждениям, государственным внебюджетным фондам, иным лицам (если применимо), а также поручить обработку персональных данных Субъектов персональных данных Третьим лицам/Партнёрам, иным лицам при наличии соответствующих правовых оснований и соблюдении требований /1/;
  • отказать Субъекту персональных данных в предоставлении сведений об обработке его персональных данных в случаях, предусмотренных /1/;
  • самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных /1/ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законодательством РФ;
  • самостоятельно, с учётом требований /1/, определять перечень необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных на основании проведённой оценки актуальных угроз безопасности персональных данных, а также определять порядок реализации указанных мер и проводить оценку эффективности принимаемых мер;
  • реализовывать иные права, предусмотренные Законодательством РФ.

9.3.Субъект персональных данных имеет право:

  • свободно, своей волей и в своём интересе предоставлять согласие на обработку персональных данных с учётом требований /1/ к форме и содержанию согласий на обработку персональных данных;
  • направлять запросы и/или обращения, в том числе повторные, и получать информацию по вопросам обработки персональных данных, принадлежащих Субъекту персональных данных, в порядке, форме, объёме и в сроки, установленные Законодательством РФ;
  • требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные Законодательством РФ меры по защите своих прав с учётом исключений, установленных /1/;
  • обратиться с требованием к Оператору прекратить обработку своих персональных данных, а также отозвать предоставленное согласие на обработку персональных данных;
  • осуществлять иные права, предусмотренные Законодательством РФ.

10.Заключительные положения

Настоящая Политика вводится в действие и становится обязательной для исполнения всеми Работниками Оператора с момента её утверждения.

Настоящая Политика может быть изменена в любой момент времени по усмотрению Оператора.

В случае, если по тем или иным причинам одно или несколько положений настоящей Политики будут признаны недействительными или не имеющими юридической силы, данные обстоятельства не оказывают влияния на действительность или применимость остальных положений Политики.

Работники Оператора несут ответственность за несоблюдение требований к обработке и защите персональных данных, в том числе за разглашение или незаконное использование персональных данных, в порядке и при наступлении условий, предусмотренных /4/, а также могут быть привлечены к гражданско-правовой, административной и уголовной ответственности в порядке, предусмотренном применимыми нормативными правовыми актами РФ.

Политика в отношении обработки персональных данных Оператора публикуется на официальных Сайтах Оператора в информационно-телекоммуникационной сети «Интернет». К Политике обеспечивается неограниченный доступ.

1.С целью обеспечения прозрачности процессов Оператора, в которых осуществляется обработка персональных данных, а также для повышения информативности настоящего документа, Политика была разработана в том числе в соответствии с подготовленными Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзором) «Рекомендациями по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных». Структурно-содержательное наполнение документа, в частности, раздела 4 и Приложения 4, сформировано, в том числе, во исполнение требований ст. 5, 6, 18, 18.1, 19, 22 /1/.

2.Делегирование функций осуществляется в соответствии с применимыми ВНД Оператора.

Если вы остаетесь на сайте - вы подтверждаете использование сайтом cookies вашего браузера с целью улучшить предложения и сервис на основе ваших предпочтений и интересов