Политика обработки персональных данных

Настоящий документ (далее – Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных у Оператора. Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.

Политика действует бессрочно после утверждения и до её замены новой версией.

В Политике используются термины и определения в соответствии с их значениями, как они определены в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных».

Обработка персональных данных Оператора осуществляется с соблюдением принципов и условий, предусмотренных настоящей Политикой и законодательством Российской Федерации в области персональных данных.

Обработка персональных данных осуществляется Оператором на законной и справедливой основе, на основании следующих документов:

• Конституция Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма».

Обработка персональных данных Оператором ведётся смешанным способом, т.е. происходит как с использованием средств автоматизации, так и без таковых.

Осуществляются следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение персональных данных.

При обработке обеспечиваются точность, достаточность и актуальность персональных данных по отношению к целям их обработки. При обнаружении неточных или неполных персональных данных производится их актуализация.

Получение и обработка персональных данных в случаях, предусмотренных Федеральным законом № 152-ФЗ, осуществляется Оператором с письменного согласия субъекта персональных данных. Равнозначным согласию в письменной форме признаётся согласие в форме электронного документа, подписанного квалифицированной электронной подписью.

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом № 152-ФЗ.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.

Биометрические персональные данные могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных.

Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки.

Обработка персональных данных на основании договоров и иных соглашений Оператора осуществляется в соответствии с условиями этих договоров, соглашений и поручений, которые могут определять, в частности:

• цели, условия, сроки обработки персональных данных;
• обязательства сторон, в том числе меры по обеспечению безопасности персональных данных;
• права, обязанности и ответственность сторон, касающиеся обработки персональных данных.

В случаях, явно не предусмотренных действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках, или оформлено в письменной форме.

Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных. К таким мерам, в частности, относятся:

• назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности персональных данных;
• проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;
• издание локальных актов по вопросам обработки персональных данных, ознакомление с ними работников, обучение пользователей;
• обеспечение физической безопасности помещений и средств обработки, пропускной режим, охрана, видеонаблюдение;
• ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;
• определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
• применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации);
• учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
• резервное копирование информации для возможности восстановления;
• осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.

Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Оператору по почте или обратившись лично.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных Оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые Оператором способы обработки персональных данных;
• наименование и место нахождения Оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации;
• информацию об осуществлённой или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора;
• иные сведения, предусмотренные законодательством Российской Федерации.

Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований законодательства Российской Федерации, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Права и обязанности Оператора определяются законодательством Российской Федерации и соглашениями Оператора.

Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных.

Ответственность лиц, участвующих в обработке персональных данных на основании поручений Оператора, за неправомерное использование персональных данных устанавливается в соответствии с условиями заключённого между Оператором и контрагентом гражданско-правового договора или Соглашения о конфиденциальности информации.

Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном законодательством Российской Федерации, локальными актами, соглашениями Оператора.

Политика обработки персональных данных разрабатывается ответственным за организацию обработки персональных данных и вводится в действие после утверждения руководителем Оператора. Политика пересматривается ежегодно для поддержания в актуальном состоянии и актуализируется по мере необходимости.