ПОЛИТИКА
В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика в отношении обработки персональных данных (далее — Политика) направлена на исполнения требований законодательства Российской Федерации в области персональных данных и на обеспечение защиты прав и свобод человека и гражданина при организации и / или осуществлении обработки его персональных данных ООО «Капитал Эксперт» (далее — Оператор), в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, информирование субъектов персональных данных о действиях Оператора.
1.2. Политика разработана в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»).
1.3. Политика содержит сведения, подлежащие раскрытию в соответствии с ч. 1 ст. 14 ФЗ «О персональных данных», и является общедоступным документом.
1.4. В Политике применяются следующие понятия:
1.4.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники
14.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
1.4.3. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
14.4. Обезличивание персональных данных – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;
1.4.5. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
1.4.6. Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
1.4.7. Персональные данные (далее также - ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
1.4.8. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц
14.9. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
1.4.10. Сайт – сайт в информационно-телекоммуникационной сети «Интернет», с использованием которого осуществляется сбор персональных данных;
1.4.11. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
1.4.12. Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.
2. СВЕДЕНИЯ ОБ ОПЕРАТОРЕ
2.1. Оператор ведет свою деятельность по адресу РФ, г. Екатеринбург, ул. Сибирский тракт 12, оф. 504.
2.2. ООО «Капитал Эксперт» ИНН 6623111729 назначен ответственным за организацию обработки персональных данных.
2.3. База данных информации, содержащей персональные данные граждан Российской Федерации, находится по адресу: РФ, г. Екатеринбург, ул. Сибирский тракт 12, оф. 504.
2.4. Адрес электронной почты: welcome@ag-capital.ru.
3. ПРАВОВЫЕ ОСНОВАНИЯ И ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Оператор производит обработку персональных данных при наличии хотя бы одного из следующих условий (правовых оснований):
3.1.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
3.1.2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3.1.3. Обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
3.1.4. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
3.1.5. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
3.1.6. Обработка персональных данных необходима для осуществления прав и законных интересов оператора либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
3.1.7. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
3.2. При обработке персональных данных Оператор придерживается следующих принципов:
3.2.1. Принцип законности и справедливой основы
3.2.2. Принцип ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
3.2.3. Принцип недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
3.2.4. Принцип недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
3.2.5. Принцип обработки только тех персональных данных, которые отвечают целям их обработки;
3.2.6. Принцип соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
3.2.7. Принцип недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
3.2.8. Принцип обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
3.2.9. Принцип уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом.
4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ И ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ, СПОСОБЫ, СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ, ПОРЯДОК ИХ УНИЧТОЖЕНИЯ
4.1. Для каждой цели обработки персональных данных Оператором в п. 4.5 Политики определены:
- категории и перечень обрабатываемых персональных данных;
- категории субъектов персональных данных, персональные данные которых обрабатываются Оператором;
- способы и сроки обработки и хранения персональных данных;
- порядок уничтожения персональных данных.
4.2. Для достижения каждой цели обработки персональных данных Оператор осуществляет обработку персональных данных следующим способом: смешанная обработка, то есть обработка как автоматизированным, так и неавтоматизированным способом, с передачей по внутренней сети юридического лица и по сети Интернет.
Действия (операции) с персональными данными, которые Оператор производит для достижения каждой из целей обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
4.3. Сроки обработки и хранения персональных данных, обрабатываемых для достижения каждой цели обработки персональных данных, устанавливаются исходя из условий обработки персональных данных, определенных ФЗ «О персональных данных», положений договора, стороной, выгодоприобретателем или поручителем по которому выступает субъект персональных данных, и/или согласия субъекта персональных данных. Обработка и хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки персональных данных, если иное не установлено ФЗ «О персональных данных».
4.4. Уничтожение персональных данных, обработка которых осуществляется для достижения каждой из целей обработки персональных данных, производится в следующем порядке, если иное не предусмотрено ФЗ «О персональных данных»:
- при достижении цели обработки персональных данных или в случае утраты необходимости в достижении цели обработки персональных данных;
- при выявлении факта неправомерной обработки персональных данных;
- при отзыве субъектом персональных данных согласия на обработку персональных данных;
- при предъявлении субъектом персональных данных требования о прекращении обработки персональных данных;
Способы уничтожения персональных данных определяются локальными нормативными актами Оператора в зависимости от способа обработки, возможностей информационной системы персональных данных и типа материального носителя персональных данных.
4.5. Обработка персональных данных осуществляется Оператором для достижения следующих целей:
4.5.1. Заключение и исполнение любых договоров с работником, регулирование трудовых и непосредственно связанных с ними отношений.
Категории персональных данных: не являющиеся специальными и биометрическими: фамилия, имя, отчество, дата рождения, место рождения, гражданство, реквизиты документа, удостоверяющего личность, ИНН, СНИЛС, адрес, место работы и занимаемая должность, информация о предыдущем опыте работы и работодателях, доходы, сведения о банковских счетах, образование, сведения о семейном положении, фотография; специальные персональные данные: сведения об инвалидности.
Категории субъектов персональных данных: работники.
Правовые основания обработки персональных данных: согласие, осуществление и выполнение возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
Способы обработки персональных данных: определены в п. 4.2. Политики.
Срок обработки и хранения персональных данных: определен в п. 4.3. Политики.
Порядок уничтожения персональных данных: определен в п. 4.4. Политики.
4.5.2. Осуществление сделок для достижения целей деятельности в соответствии с Уставом Оператора, реализация прав и исполнение обязательств по договорам с контрагентами.
Категории персональных данных: не являющиеся специальными и биометрическими: фамилия, имя, отчество, дата рождения, место рождения, гражданство, реквизиты документа, удостоверяющего личность, номера контактных телефонов (личный, корпоративный), адрес корпоративной электронной почты, адреса личной электронной почты, место работы и занимаемая должность, информация о предыдущем опыте работы и работодателях, образование, фотография.
Категории субъектов персональных данных: работники, контрагенты, физические лица – работники клиентов Оператора.
Правовые основания обработки персональных данных: согласие, исполнение договора, стороной или бенефициаром которого является субъект ПД, осуществление прав и законных интересов оператора и третьих лиц.
Способы обработки персональных данных: определены в п. 4.2. Политики.
Срок обработки и хранения персональных данных: определен в п. 4.3. Политики.
Порядок уничтожения персональных данных: определен в п. 4.4. Политики.
4.5.3. Осуществление и выполнение возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей.
Категории персональных данных: не являющиеся специальными и биометрическими: фамилия, имя, отчество, дата рождения, место рождения, реквизиты документа, удостоверяющего личность, сведения о воинском учете.
Категории субъектов персональных данных: работники, уволенные работники, контрагенты, участники юридических лиц, члены органов управления юридических лиц.
Правовые основания обработки персональных данных: осуществление и выполнение возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
Способы обработки персональных данных: определены в п. 4.2. Политики.
Срок обработки и хранения персональных данных: определен в п. 4.3. Политики.
Порядок уничтожения персональных данных: определен в п. 4.4. Политики.
4.5.4. Заключение и исполнение договоров, заключаемых в интересах работника, в том числе договоров страхования.
Категории персональных данных: не являющиеся специальными и биометрическими: фамилия, имя, отчество, дата рождения, место рождения, гражданство, реквизиты документа, удостоверяющего личность, ИНН, адрес, номера контактных телефонов (рабочий, корпоративный), номер личного мобильного и домашнего телефонов, адрес корпоративной электронной почты, адреса личной электронной почты, место работы и занимаемая должность, информация о предыдущем опыте работы и работодателях, сведения о семейном положении, сведения о воинском учете, имущественное положение, контактная информация лиц для связи в экстренных ситуациях; специальные персональные данные: сведения об инвалидности, сведения о состоянии здоровья.
Категории субъектов персональных данных: работники, родственники работников, контрагенты.
Правовые основания обработки персональных данных: согласие, исполнение договора, стороной или бенефициаром которого является субъект ПД.
Способы обработки персональных данных: определены в п. 4.2. Политики.
Срок обработки и хранения персональных данных: определен в п. 4.3. Политики.
Порядок уничтожения персональных данных: определен в п. 4.4. Политики.
4.5.5. Обеспечение безопасности на территории офисов Оператора, в том числе при чрезвычайных ситуациях, организация пропускного режима.
Категории персональных данных: не являющиеся специальными и биометрическими: фамилия, имя, отчество, дата рождения, место рождения, гражданство, реквизиты документа, удостоверяющего личность, адрес, номера контактных телефонов (рабочий, корпоративный), номер личного мобильного и домашнего телефонов, адрес корпоративной электронной почты, адреса личной электронной почты, место работы и занимаемая должность, информация о предыдущем опыте работы и работодателях, контактная информация лиц для связи в экстренных ситуациях, фотография; специальные персональные данные: сведения об инвалидности.
Категории субъектов персональных данных: соискатели, работники, родственники работников, контрагенты, посетители.
Правовые основания обработки персональных данных: согласие.
Способы обработки персональных данных: определены в п. 4.2. Политики.
Срок обработки и хранения персональных данных: определен в п. 4.3. Политики.
Порядок уничтожения персональных данных: определен в п. 4.4. Политики.
4.5.6. Организация деловых поездок.
Категории персональных данных: не являющиеся специальными и биометрическими: фамилия, имя, отчество, дата рождения, место рождения, гражданство, реквизиты документа, удостоверяющего личность, адрес, номера контактных телефонов (рабочий, корпоративный), номер личного мобильного и домашнего телефонов, адрес корпоративной электронной почты, адреса личной электронной почты; место работы и занимаемая должность, информация о предыдущем опыте работы и работодателях, доходы, сведения о банковских счетах, образование, сведения о семейном положении, сведения о воинском учете, контактная информация лиц для связи в экстренных ситуациях, фотография; специальные персональные данные: сведения об инвалидности.
Категории субъектов персональных данных: работники, родственники работников.
Правовые основания обработки персональных данных: согласие.
Способы обработки персональных данных: определены в п. 4.2. Политики.
Срок обработки и хранения персональных данных: определен в п. 4.3. Политики.
Порядок уничтожения персональных данных: определен в п. 4.4. Политики.
4.5.7. Развитие карьеры и управление человеческими ресурсами, мотивация персонала.
Категории персональных данных: не являющиеся специальными и биометрическими: фамилия, имя, отчество, дата рождения, место рождения гражданство, реквизиты документа, удостоверяющего личность, ИНН, СНИЛС, адрес, номера контактных телефонов (рабочий, корпоративный), номер личного мобильного и домашнего телефонов, адрес корпоративной электронной почты, адреса личной электронной почты, место работы и занимаемая должность, информация о предыдущем опыте работы и работодателях, сведения о банковских счетах, контактная информация лиц для связи в экстренных ситуациях, фотография, сведения об интересах; специальные персональные данные: сведения об инвалидности, сведения о состоянии здоровья.
Категории субъектов персональных данных: работники, родственники работников.
Правовые основания обработки персональных данных: согласие.
Способы обработки персональных данных: определены в п. 4.2. Политики.
Срок обработки и хранения персональных данных: определен в п. 4.3. Политики.
Порядок уничтожения персональных данных: определен в п. 4.4. Политики.
4.5.8. Сертификация и обучение работников.
Категории персональных данных: не являющиеся специальными и биометрическими: фамилия, имя, отчество, дата рождения, место рождения, гражданство, реквизиты документа, удостоверяющего личность, ИНН, СНИЛС, адрес, номера контактных телефонов (рабочий, корпоративный), адрес корпоративной электронной почты, место работы и занимаемая должность, информация о предыдущем опыте работы и работодателях, образование, фотография, сведения о результатах прохождения обучения и освоения образовательной программы.
Категории субъектов персональных данных: работники, контрагенты.
Правовые основания обработки персональных данных: согласие.
Способы обработки персональных данных: определены в п. 4.2. Политики.
Срок обработки и хранения персональных данных: определен в п. 4.3. Политики.
4.5.9. Проверка достоверности сведений, предоставленных субъектами ПД, в том числе при трудоустройстве.
Категории персональных данных: не являющиеся специальными и биометрическими: фамилия, имя, отчество, дата рождения, реквизиты документа, удостоверяющего личность, место работы и занимаемая должность, информация о предыдущем опыте работы и работодателях, образование.
Категории субъектов персональных данных: соискатели, работники, контрагенты.
Правовые основания обработки персональных данных: согласие, осуществление прав и законных интересов оператора и третьих лиц.
Способы обработки персональных данных: определены в п. 4.2. Политики.
Срок обработки и хранения персональных данных: определен в п. 4.3. Политики.
Порядок уничтожения персональных данных: определен в п. 4.4. Политики.
4.5.10. Проведение аудита деятельности Оператора.
Категории персональных данных: не являющиеся специальными и биометрическими: фамилия, имя, отчество, дата рождения, место рождения, гражданство, реквизиты документа, удостоверяющего личность, ИНН, СНИЛС, адрес, номера контактных телефонов (рабочий, корпоративный), номер личного мобильного и домашнего телефонов, адрес корпоративной электронной почты, адреса личной электронной почты, место работы и занимаемая должность, информация о предыдущем опыте работы и работодателях, доходы, сведения о банковских счетах, образование, сведения о семейном положении, сведения о воинском учете, имущественное положение, специальные персональные данные: сведения об инвалидности.
Категории субъектов персональных данных: работники, уволенные работники, родственники работников, контрагенты, участники юридических лиц, члены органов управления юридических лиц.
Правовые основания обработки персональных данных: согласие.
Способы обработки персональных данных: определены в п. 4.2. Политики.
Срок обработки и хранения персональных данных: определен в п. 4.3. Политики.
Порядок уничтожения персональных данных: определен в п. 4.4. Политики.
Порядок уничтожения персональных данных: определен в п. 4.4. Политики.
4.5.11. Осуществление административно-хозяйственной деятельности Оператора.
Категории персональных данных: не являющиеся специальными и биометрическими: фамилия, имя, отчество, дата рождения, место рождения, гражданство, реквизиты документа, удостоверяющего личность, ИНН, СНИЛС, адрес, номера контактных телефонов (рабочий, корпоративный), номер личного мобильного и домашнего телефонов, адрес корпоративной электронной почты, адреса личной электронной почты, место работы и занимаемая должность, информация о предыдущем опыте работы и работодателях, образование.
Категории субъектов персональных данных: работники, уволенные работники, контрагенты, участники юридических лиц, члены органов управления юридических лиц.
Правовые основания обработки персональных данных: согласие, осуществление прав и законных интересов оператора и третьих лиц.
Способы обработки персональных данных: определены в п. 4.2. Политики.
Срок обработки и хранения персональных данных: определен в п. 4.3. Политики.
Порядок уничтожения персональных данных: определен в п. 4.4. Политики.
4.5.12. Привлечение и отбор кандидатов на работу.
Категории персональных данных: не являющиеся специальными и биометрическими: фамилия, имя, отчество, дата рождения, место рождения, гражданство, реквизиты документа, удостоверяющего личность, СНИЛС, адрес, номера контактных телефонов, адреса электронной почты, место работы и занимаемая должность, сведения об образовании и/или квалификации, сведения о семейном положении, сведения о воинском учете, сведения об интересах, уровень владения иностранными языками, предполагаемые доходы, сведения об аккаунтах в социальных сетях, копии документов: СНИЛС; документа, удостоверяющего личность; заграничного паспорта.
Категории субъектов персональных данных: соискатели.
Правовые основания обработки персональных данных: согласие.
Способы обработки персональных данных: определены в п. 4.2. Политики.
Срок обработки и хранения персональных данных: определен в п. 4.3. Политики.
Порядок уничтожения персональных данных: определен в п. 4.4. Политики.
4.5.13. Установления с физическим лицом (пользователем Сайта) обратной связи, включая направление уведомлений, запросов, касающихся использования Сайта, оказания услуг, обработку запросов и заявок от физического лица (пользователя Сайта).
Категории персональных данных: не являющиеся специальными и биометрическими: имя, отчество (при наличии), дата рождения, номера контактных телефонов (личный, корпоративный), адрес корпоративной электронной почты, адреса личной электронной почты, место работы и занимаемая должность.
Категории субъектов персональных данных: физические лица (пользователи Сайта).
Правовые основания обработки персональных данных: согласие.
Способы обработки персональных данных: определены в п. 4.2 Политики.
Срок обработки и хранения персональных данных: определен в п. 4.3 Политики.
Порядок уничтожения персональных данных: определен в п. 4.4 Политики.
4.6. Оператор обрабатывает персональные данные клиентов с их согласия, предоставляемого на срок действия заключенных с ними договоров. В случаях, предусмотренных ФЗ «О персональных данных», согласие предоставляется в письменном виде. В иных случаях согласие считается полученным при заключении договора или при совершении конклюдентных действий.
5. СВЕДЕНИЯ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Оператор назначает ответственного за организацию обработки персональных данных для выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
5.2. Оператор применяет комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных для обеспечения конфиденциальности персональных данных и их защиты от неправомерных действий:
— обеспечивает неограниченный доступ к Политике, копия которой размещена по адресу нахождения Оператора, а также может быть размещена на сайте Оператора (при его наличии);
— во исполнение Политики утверждает и приводит в действие документ «Положение об обработке персональных данных» (далее — Положение) и иные локальные акты;
— производит ознакомление работников с положениями законодательства о персональных данных, а также с Политикой и Положением;
— осуществляет допуск работников к персональным данным, обрабатываемым в информационной системе Оператора, а также к их материальным носителям только для выполнения трудовых обязанностей;
— устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе Оператора, а также обеспечивает регистрацию и учёт всех действий с ними;
— производит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных»;
— производит определение угроз безопасности персональных данных при их обработке в информационной системе Оператора;
— применяет организационные и технические меры и использует средства защиты информации, необходимые для достижения установленного уровня защищенности персональных данных;
— осуществляет обнаружение фактов несанкционированного доступа к персональным данным и принимает меры по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— производит оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы Оператора;
— осуществляет внутренний контроль соответствия обработки персональных данных ФЗ «О персональных данных», принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике, Положению и иным локальным актам, включающий контроль за принимаемыми мерами по обеспечению безопасности персональных данных и их уровня защищенности при обработке в информационной системе Оператора.
6. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Субъект персональных данных имеет право:
— на получение персональных данных, относящихся к данному субъекту, и информации, касающейся их обработки;
— на уточнение, блокирование или уничтожение его персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
— на отзыв данного им согласия на обработку персональных данных;
— на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке;
— на обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
6.2. Для реализации своих прав и законных интересов субъекты персональных данных имеют право обратиться к Оператору либо направить запрос лично или с помощью представителя. Запрос должен содержать сведения, указанные в ч. 3 ст. 14 ФЗ «О персональных данных».
7. СПЕЦИАЛЬНЫЕ КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Обработка Оператором специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается в случаях, если:
7.1.1. Субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
7.1.2. Осуществляется обработка персональных данных, разрешенных субъектом персональных данных для распространения, с соблюдением запретов и условий, предусмотренных ФЗ «О персональных данных»;
7.1.3. Обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
7.1.4. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
7.1.5. Обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
7.1.6. Обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
7.1.7. Обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
7.2. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных пунктом 4 статьи 10 ФЗ «О персональных данных» должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено федеральным законом.
7.3. Обработка персональных данных о судимости может осуществляться Оператором исключительно в случаях и в порядке, которые определяются в соответствии с федеральными законами.
8. БИОМЕТРИЧЕСКИЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
8.1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность – биометрические персональные данные – могут обрабатываться Оператором только при наличии согласия субъекта персональных данных в письменной форме.
9. ПЕРСОНАЛЬНЫЕ ДАННЫЕ, РАЗРЕШЕННЫЕ СУБЪЕКТОМ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЛЯ РАСПРОСТРАНЕНИЯ
9.1. Оператор осуществляет обработку персональных данных, разрешенных субъектом персональных данных для распространения, на основании согласия, оформляемого отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
9.2. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ Оператора в установлении субъектом персональных данных запретов и условий не допускается.
9.3. Персональные данные, раскрытые самим субъектом персональных данных неопределенному кругу лиц, могут обрабатываться Оператором только в случае, если Оператор может предоставить доказательства законности обработки таких персональных данных.
10. ПОРУЧЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ДРУГОМУ ЛИЦУ
10.1. Оператор вправе поручить обработку ПД другому лицу с согласия субъекта ПД, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
10.2. Лицо, осуществляющее обработку ПД по поручению Оператора, обязано соблюдать принципы и правила обработки, конфиденциальность ПД и принимать меры, предусмотренные ФЗ «О персональных данных» и настоящей Политикой.
10.3. В поручении Оператора должны быть определены перечень ПД, перечень действий с ПД, которые будут совершаться лицом, осуществляющим обработку ПД, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПД, требования, предусмотренные ФЗ «О персональных данных», обязанность по запросу оператора ПД в течение срока действия поручения Оператора, в том числе до обработки ПД, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора.
10.4. Лицо, осуществляющее обработку ПД по поручению Оператора, не обязано получать согласие субъекта ПД на обработку его ПД.
10.5. Оператор несет ответственность за действия лица, осуществляющего обработку ПД по поручению Оператора. Лицо, осуществляющее обработку ПД по поручению Оператора, несет ответственность перед Оператором.
11. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ ГРАЖДАН РОССИЙСКОЙ ФЕДЕРАЦИИ
11.1. В соответствии со статьей 2 Федерального закона от 21 июля 2014 года № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением следующих случаев, в которых запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, не является обязательной:
11.1. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
11.2. Обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
11.3. Обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
11.4. Обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
13. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
13.1. Трансграничная передача персональных данных осуществляется с учетом условий и ограничений, установленных ФЗ «О персональных данных». До начала трансграничной передачи персональных данных Оператор:
13.1.1. Получает от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных, сведения о принимаемых мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;
13.1.2. В случае, если предполагается осуществление трансграничной передачи персональных данных органам власти иностранного государства, иностранным физическим лицам, иностранным юридическим лицам, находящимся под юрисдикцией иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных – получает от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных, информацию о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого они находятся;
13.1.3. Получает от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных, следующие сведения о них: наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты;
13.1.4. Производит на основании полученной информации оценку соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке;
13.1.5. Уведомляет уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных в порядке, предусмотренном ФЗ «О персональных данных».
14. ТЕХНОЛОГИЯ COOKIES
14.1. Технология cookies позволяет сайту хранить в браузере устройства фрагменты данных, которые будут использоваться сайтом при его последующем посещении пользователем. Файлы cookie используются для обеспечения более эффективного функционирования сайта, а также для предоставления той или иной информации владельцам сайта. Использование Оператором технологии cookies описано в Политике в отношении файлов cookie.
15. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
15.1. Политика вводится в действие и становится обязательной для исполнения всеми работниками Оператора с момента ее утверждения.
15.2. Оператор праве изменять Политику в любой момент времени по усмотрению Оператора.
15.3. Иные права и обязанности Оператора в связи с обработкой персональных данных определяются законодательством Российской Федерации в области персональных данных.
15.4. Работники Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.
5.1. Оператор назначает ответственного за организацию обработки персональных данных для выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
5.2. Оператор применяет комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных для обеспечения конфиденциальности персональных данных и их защиты от неправомерных действий:
— обеспечивает неограниченный доступ к Политике, копия которой размещена по адресу нахождения Оператора, а также может быть размещена на сайте Оператора (при его наличии);
— во исполнение Политики утверждает и приводит в действие документ «Положение об обработке персональных данных» (далее — Положение) и иные локальные акты;
— производит ознакомление работников с положениями законодательства о персональных данных, а также с Политикой и Положением;
— осуществляет допуск работников к персональным данным, обрабатываемым в информационной системе Оператора, а также к их материальным носителям только для выполнения трудовых обязанностей;
— устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе Оператора, а также обеспечивает регистрацию и учёт всех действий с ними;
— производит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных»;
— производит определение угроз безопасности персональных данных при их обработке в информационной системе Оператора;
— применяет организационные и технические меры и использует средства защиты информации, необходимые для достижения установленного уровня защищенности персональных данных;
— осуществляет обнаружение фактов несанкционированного доступа к персональным данным и принимает меры по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— производит оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы Оператора;
— осуществляет внутренний контроль соответствия обработки персональных данных ФЗ «О персональных данных», принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике, Положению и иным локальным актам, включающий контроль за принимаемыми мерами по обеспечению безопасности персональных данных и их уровня защищенности при обработке в информационной системе Оператора.
6. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Субъект персональных данных имеет право:
— на получение персональных данных, относящихся к данному субъекту, и информации, касающейся их обработки;
— на уточнение, блокирование или уничтожение его персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
— на отзыв данного им согласия на обработку персональных данных;
— на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке;
— на обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
6.2. Для реализации своих прав и законных интересов субъекты персональных данных имеют право обратиться к Оператору либо направить запрос лично или с помощью представителя. Запрос должен содержать сведения, указанные в ч. 3 ст. 14 ФЗ «О персональных данных».
7. СПЕЦИАЛЬНЫЕ КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Обработка Оператором специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается в случаях, если:
7.1.1. Субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
7.1.2. Осуществляется обработка персональных данных, разрешенных субъектом персональных данных для распространения, с соблюдением запретов и условий, предусмотренных ФЗ «О персональных данных»;
7.1.3. Обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
7.1.4. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
7.1.5. Обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
7.1.6. Обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
7.1.7. Обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
7.2. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных пунктом 4 статьи 10 ФЗ «О персональных данных» должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено федеральным законом.
7.3. Обработка персональных данных о судимости может осуществляться Оператором исключительно в случаях и в порядке, которые определяются в соответствии с федеральными законами.
8. БИОМЕТРИЧЕСКИЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
8.1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность – биометрические персональные данные – могут обрабатываться Оператором только при наличии согласия субъекта персональных данных в письменной форме.
9. ПЕРСОНАЛЬНЫЕ ДАННЫЕ, РАЗРЕШЕННЫЕ СУБЪЕКТОМ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЛЯ РАСПРОСТРАНЕНИЯ
9.1. Оператор осуществляет обработку персональных данных, разрешенных субъектом персональных данных для распространения, на основании согласия, оформляемого отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
9.2. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ Оператора в установлении субъектом персональных данных запретов и условий не допускается.
9.3. Персональные данные, раскрытые самим субъектом персональных данных неопределенному кругу лиц, могут обрабатываться Оператором только в случае, если Оператор может предоставить доказательства законности обработки таких персональных данных.
10. ПОРУЧЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ДРУГОМУ ЛИЦУ
10.1. Оператор вправе поручить обработку ПД другому лицу с согласия субъекта ПД, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
10.2. Лицо, осуществляющее обработку ПД по поручению Оператора, обязано соблюдать принципы и правила обработки, конфиденциальность ПД и принимать меры, предусмотренные ФЗ «О персональных данных» и настоящей Политикой.
10.3. В поручении Оператора должны быть определены перечень ПД, перечень действий с ПД, которые будут совершаться лицом, осуществляющим обработку ПД, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПД, требования, предусмотренные ФЗ «О персональных данных», обязанность по запросу оператора ПД в течение срока действия поручения Оператора, в том числе до обработки ПД, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора.
10.4. Лицо, осуществляющее обработку ПД по поручению Оператора, не обязано получать согласие субъекта ПД на обработку его ПД.
10.5. Оператор несет ответственность за действия лица, осуществляющего обработку ПД по поручению Оператора. Лицо, осуществляющее обработку ПД по поручению Оператора, несет ответственность перед Оператором.
11. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ ГРАЖДАН РОССИЙСКОЙ ФЕДЕРАЦИИ
11.1. В соответствии со статьей 2 Федерального закона от 21 июля 2014 года № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением следующих случаев, в которых запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, не является обязательной:
11.1. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
11.2. Обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
11.3. Обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
11.4. Обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
13. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
13.1. Трансграничная передача персональных данных осуществляется с учетом условий и ограничений, установленных ФЗ «О персональных данных». До начала трансграничной передачи персональных данных Оператор:
13.1.1. Получает от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных, сведения о принимаемых мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;
13.1.2. В случае, если предполагается осуществление трансграничной передачи персональных данных органам власти иностранного государства, иностранным физическим лицам, иностранным юридическим лицам, находящимся под юрисдикцией иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных – получает от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных, информацию о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого они находятся;
13.1.3. Получает от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных, следующие сведения о них: наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты;
13.1.4. Производит на основании полученной информации оценку соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке;
13.1.5. Уведомляет уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных в порядке, предусмотренном ФЗ «О персональных данных».
14. ТЕХНОЛОГИЯ COOKIES
14.1. Технология cookies позволяет сайту хранить в браузере устройства фрагменты данных, которые будут использоваться сайтом при его последующем посещении пользователем. Файлы cookie используются для обеспечения более эффективного функционирования сайта, а также для предоставления той или иной информации владельцам сайта. Использование Оператором технологии cookies описано в Политике в отношении файлов cookie.
15. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
15.1. Политика вводится в действие и становится обязательной для исполнения всеми работниками Оператора с момента ее утверждения.
15.2. Оператор праве изменять Политику в любой момент времени по усмотрению Оператора.
15.3. Иные права и обязанности Оператора в связи с обработкой персональных данных определяются законодательством Российской Федерации в области персональных данных.
15.4. Работники Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.
