Ижевск 
Политика ООО "СТРОЙЛАНДИЯ.РУ" в отношении обработки персональных данных
1. Общие положения
1.1. Политика Общества с ограниченной ответственностью «СТРОЙЛАНДИЯ.РУ» (далее - Общество) в отношении обработки персональных данных (далее — Политика ПД) разработана в целях обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Целью Политики ПД является обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных Обществом.
1.3. Политика ПД разработана в соответствии с положениями Федерального законаот 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных») и «Рекомендациями по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» от 31.07. 2017 Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.
1.4. Политика ПД разработана в целях реализации требований действующего законодательства Российской Федерации в области обработки и обеспечения безопасности персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в Обществе.
1.5. Требования Политики ПД учитываются в отношениях с третьими лицами при необходимости их участия в процессе обработки персональных данных Обществом, а также в случаях передачи им персональных данных в установленном порядке в рамках заключаемых соглашений или требований действующего законодательства Российской Федерации.
1.6. Неограниченный доступ к Политике ПД обеспечивается посредством публикации на корпоративных ресурсах Общества, в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Общества и/ или размещения в иных местах (на постах охраны, информационных щитах, стендах и др.), определенных Обществом.
1.7. Политика ПД подлежит пересмотру в ходе периодического анализа со стороны руководства ООО «СТРОЙЛАНДИЯ.РУ», а также в случаях изменения законодательства Российской Федерации в области персональных данных.
1.8. Политика ПД подлежит опубликованию на официальном сайте Общества https://stroylandiya.ru/.
2. Термины и определения
2.1. Определение основных понятий, используемых в документе.
| Автоматизированная Обработка персональных данных | обработка персональных данных с помощью автоматизированных средств, средств вычислительной техники; |
| Неавтоматизированная Обработка персональных данных | обработка персональных данных, осуществляемая без использования средств автоматизации, если такие действия с персональными данными, как использование, уточнение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека; |
| Смешанная обработка персональных данных | обработка персональных данных как с использованием автоматизированных средств, так и без использования средств автоматизации; |
| Блокирование персональных данных | временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); |
| Информационная система персональных данных | совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку ин-формационных технологий и технических средств; |
| Оператор | ООО «СТРОЙЛАНДИЯ.РУ» - юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; |
| Мобильное приложение | приложение Общества для мобильного устройства пользователя; |
| Обезличивание персональных данных | действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных; |
| Обработка персональных данных | любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ, кроме распространения), получение, блокирование, удаление, уничтожение персональных данных; |
| Персональные данные | любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому ли-цу (субъекту персональных данных); |
| Предоставление персональных данных | действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; |
| Сервис | официальный сайт или мобильное приложение; |
| Субъект персональных данных | физическое лицо, которое прямо или косвенно определено, или определяемо с помощью персональных данных; |
| Трансграничная передача персональных данных | передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу; |
| Уничтожение (удаление) персональных данных | действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; |
| Личный кабинет | персональная запись (профиль) пользователя на сайте, содержащая персональные данные субъекта персональных данных. |
3. Правовые основания обработки персональных данных
3.1. Основанием обработки персональных данных в Обществе являются следующие нормативные акты и документы:
- Трудовой кодекс Российской Федерации;
- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- согласие субъекта персональных данных на обработку персональных данных;
- Гражданский кодекс Российской Федерации (далее – ГК РФ);
- Налоговый кодекс Российской Федерации;
- Кодекс Российской Федерации об административных правонарушениях;
- Уголовно-исполнительный кодекс Российской Федерации;
- Федеральный закон от 02.10.2007 № 229-ФЗ «Об исполнительном производстве»;
- Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
- Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
- Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;
- Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
- Федеральный закон от 30.12.2008 № 307-ФЗ «Об аудиторской деятельности»;
- Федеральный закон от 15.12.2001 № 166-ФЗ «О государственном пенсионном обеспечении в Российской Федерации»;
- Устав Общества;
- Приказ Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»;
- Приказом ФСБ России от 13.02.2023 № 77 «Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных».
3.2. В случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Общества, обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Обработка персональных данных прекращается при реорганизации или ликвидации Общества.
3.3. В соответствии с ч. 2 ст. 492 ГК РФ взаимоотношения продавца и покупателя являются публичным договором. Договор купли-продажи может быть заключен дистанционно. При этом, в соответствии со ст. 458 ГК РФ покупатель вправе указать лицо, которое будет получателем товара. Обязанность уведомлять субъекта персональных данных, получателя товара, об обработке его персональных данных продавцом, возлагается на покупателя. Персональные данные получателя товара обрабатываются продавцом на основании Федерального закона (ГК РФ) и в связи с исполнением договора купли-продажи, выгодоприобретателем по которому является субъект персональных данных;
3.4. При осуществлении сбора персональных данных с использованием информационно-телекоммуникационных сетей, кроме опубликования в соответствующей информационно-телекоммуникационной сети настоящей политики в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, Оператором реализован механизм получения согласия субъекта персональных данных. Субъект персональных данных до предоставления своих персональных данных, обязан ознакомиться с текстом согласия на обработку персональных данных и выразить свое волеизъявление путем проставления чек-бокса в соответствующей графе.
4. Организация обработки персональных данных
4.1. Обработка персональных данных субъекта осуществляется в рамках деятельности оператора согласно законодательству РФ и внутренним нормативным актам оператора.
4.2. Обработка персональных данных осуществляется оператором в случаях, установленных законодательством, и с согласия субъекта или его представителя, оформленного в соответствии с приложениями № 1 к настоящей Политики ПД.
4.3. Оператор, получив доступ к персональным данным, соблюдает конфиденциальность персональных данных - не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
4.4. Оператор персональных данных вправе:
- отстаивать свои интересы в суде;
- предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
- отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
- использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством.
4.5. При сборе персональных данных оператор предоставляет субъекту персональных данных по его просьбе информацию, предусмотренную ч. 7 ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
4.6. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в п.п. 2, 3, 4, 8 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
5. Цели обработки персональных данных
5.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
5.2. Цели обработки персональных данных определены правовыми актами, регламентирующими деятельность Оператора.
5.3. Цели обработки персональных данных в Компании:
- осуществление соблюдения трудового законодательства РФ;
- осуществление соблюдения налогового законодательства РФ;
- осуществление соблюдения пенсионного законодательства РФ;
- ведение кадрового и бухгалтерского делопроизводства;
- подготовка, заключение и исполнение гражданско-правового договора;
- выполнение обязательств по договорам с контрагентами;
- рассмотрение кандидатуры (в том числе оценки профессиональных, деловых и личностных качеств, включая проведение тестирования) в качестве претендента на вакантные должности и/или работы;
- реализация программы лояльности (идентификация участника программы, обеспечение учета накопления и использования бонусов, распространение рекламных сообщений (при наличии отдельного согласия субъекта персональных данных, оформленного в соответствии с приложением № 3 к настоящей Политике ПД на распространение рекламных сообщений), в т.ч., о проводимых акциях и специальных предложениях);
- сбор информации для проведения маркетинговых и рекламных акций, предоставления персонализированных предложений и распространения информации о новинках;
- сбор данных с сайта и мобильного приложения для анализа и улучшения качества предоставляемых услуг, оптимизации работы систем и процессов;
- сбор персональных данных клиентов для выполнения контрактных обязательств, предоставления услуг и продуктов, оказания поддержки и консультаций, в том числе гарантийного обслуживания;
- соблюдение требований по хранению и уничтожению персональных данных после завершения цели их обработки.
6. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
6.1. Содержание и объем обрабатываемых оператором персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки. Сведения о категориях субъектов, персональные данные которых обрабатываются оператором, категориях и перечне обрабатываемых персональных данных, способах, сроках их обработки и хранения представлены в приложении № 5 к настоящей Политике ПД.
6.2. В Компании обрабатываются персональные данные следующих категорий субъектов персональных данных:
1) лица, состоящие в трудовых отношениях с оператором, - работники;
2) лица, состоящие в договорных отношениях с оператором, - исполнители;
3) лица, претендующие на вакантные должности оператора, - соискатели;
4) лица, выполняющие работы по договору контрагентами оператора, - контрагенты;
5) лица, пользующиеся коммерческими предложениями оператора, - клиенты.
6.3. Перечни категорий персональных данных, обрабатываемых Оператором, по каждой категории субъектов персональных данных, приведены на сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций в Реестре операторов, осуществляющих обработку персональных данных, за регистрационным номером № 56-21-003804.
6.4. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не осуществляется. В исключительных случаях допускается обработка специальных категорий персональных данных:
- в случае, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
- в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации.
6.5. Обработка биометрических персональных данных Компанией не осуществляется. В исключительных случаях обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных.
6.6 Обработка персональных данных работников, разрешенных для распространения, осуществляется с согласия субъекта персональных данных для распространения, о чем имеется отметка на каждой странице сайта https://stroylandiya.ru/career/success-stories/ - раздел «История успеха», где размещены персональные данные. Такая обработка осуществляется Оператором после получения отдельного согласия и с соблюдением запретов и условий, предусмотренных ст. 10.1 Федерального закона «О персональных данных».
6.7 Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации осуществляется только при условии предварительного согласия субъекта персональных данных. В случае поступления требования субъекта персональных данных о прекращении такой обработки (в форме, позволяющей подтвердить волеизъявление субъекта), персональные данные из системы продвижения товаров удаляются немедленно.
7. Согласие субъекта персональных данных на обработку его персональных данных
7.1. При необходимости обеспечения условий обработки персональных данных субъекта может предоставляться согласие субъекта персональных данных на обработку его персональных данных.
7.2. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой, позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
7.3. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, пунктах 2 – 10 части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
7.4. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 – 11 части 1 статьи 6, пунктах 2 – 10 части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», возлагается на оператора.
7.5. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных (форма согласия представлена в приложении № 1) должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного доку-мента, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного доку-мента и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персоналных данных);
3) наименование или фамилию, имя, отчество и адрес оператора;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
7.6. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.
7.7. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
7.8. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
7.9. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 – 11 части 1 статьи 6, пунктах 2 – 10 части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».8. Порядок и условия обработки персональных данных
8.1. Оператор осуществляет обработку персональных данных - операции, совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
8.2. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
8.3. Обработка персональных данных оператором ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки.
8.4. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
8.5. При осуществлении хранения персональных данных оператор персональных данных использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
8.6. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков). При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных используется отдельный материальный носитель.
8.7. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе работники оператора или лица, осуществляющие такую обработку по договору с оператором), проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами Федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами оператора.
8.8. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовая форма), соблюдаются следующие условия:а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) содержат сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
б) типовая форма предусматривает поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, – при необходимости получения письменного согласия на обработку персональных данных;
в) типовая форма составляется таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
г) типовая форма исключает объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
8.9. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, принимаются меры по обеспечению раздельной обработки персональных данных, в частности:
а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
8.10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). Указанные правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
8.11. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
8.12. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
5.13. Оператор вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта.8.14. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
8.15. При поручении обработки персональных данных другому лицу ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
8.16. В случае, если оператор поручает обработку персональных данных иностранному физическому или иностранному юридическому лицу, ответственность перед субъектом персональных данных за действия указанных лиц несет оператор и лицо, осуществляющее обработку персональных данных по поручению оператора.
8.17. Кроме того, оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
8.18. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
8.19. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Состав и перечень мер оператор определяет самостоятельно.8.20. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8.21. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
8.22. Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
8.23. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.
8.24. В целях информационного обеспечения оператор создает общедоступные источники персональных данных. Персональные данные включаются в общедоступные источники на основании согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных к распространению или в целях выполнения возложенных законодательством Российской Федерации на Федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей. Сведения о субъекте персональных данных исключаются из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
8.25. В общедоступные источники персональных данных включены следующие сведения работников оператора:
- ФИО;- Должность;
- Сведения об образовании;
- Сведения о повышении квалификации;
- Квалификация по документу об образовании;
- Направление подготовки или специальность по документу об образовании;
- Контактный номер телефона (или иной вид связи)
8.26. Обработка метрических данных:
- на сайте оператора применяются следующие инструменты веб-аналитики: Яндекс.Метрика. Инструменты веб-аналитики применяются в целях анализа использования сайтов оператора и улучшения его работы;- обработка файлов cookie оператором осуществляется в обобщенном виде и никогда не соотносится с личными сведениями пользователей;
- при посещении сайта субъект дает согласие оператору на обработку указанных данных с использованием метрических сервисов для анализа использования, измерения и повышения уровня производительности сайта оператора. Согласие действует с момента его предоставления и в течение всего периода использования сайта субъектом.
- в случае отказа от обработки файлов cookie субъекту необходимо прекратить использование сайта оператора или отключить использование файлов cookie в настройках браузера, при этом некоторые функции сайта могут стать недоступны.
- сайт и базы данных расположены на мощностях акционерного общества «Селектел», 196006, г. Санкт-Петербург, ул. Цветочная, д. 21 лит. А.
9. Особенности обработки персональных данных, разрешённых субъектом персональных данных для распространения
9.1. Обработка персональных данных, разрешённых субъектом персональных данных для распространения, осуществляется на основании соответствующего согласия субъекта персональных данных.
9.2. Согласие на обработку персональных данных, разрешённых субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
9.3. Согласие содержит перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешённых субъектом персональных данных для распространения.
9.4. Согласие на обработку персональных данных, разрешённых субъектом персональных данных для распространения, предоставляется непосредственно оператору.
9.5. Молчание или бездействие субъекта персональных данных не считается согласием на обработку персональных данных, разрешённых субъектом персональных данных для распространения.
9.6. В согласии на обработку персональных данных, разрешённых субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных статьей 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», не допускается.
9.7. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешённых субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.
9.8. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, прекращается по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором.
9.9. Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления Обществу соответствующего требования.
9.10. Требования, указанные выше, не применяются в случае обработки персональных данных в целях выполнения, возложенных законодательством Российской Федерации на государственные органы, муниципальные органы, а также на подведомственные этим органам организации функций, полномочий и обязанностей.
9.11. Оператор обрабатывает следующие персональные данные работников оператора, распространяемые в обязательном порядке:
- ФИО;- Должность;
- Сведения об образовании;
- Сведения о повышении квалификации;
- Квалификация по документу об образовании;
- Направление подготовки или специальность по документу об образовании;
- Контактный номер телефона (или иной вид связи)
10. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным, права субъекта персональных данных
10.1. При сборе персональных данных оператор предоставляет субъекту персональных данных по его просьбе запрашиваемую информацию, касающуюся обработки его персональных данных в соответствии с частью 7 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
10.2. Если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, оператор разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.
10.3. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор дает в письменной форме мотивированный ответ в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
10.4. Оператор предоставляет безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор вносит в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор уничтожает такие персональные данные. Оператор уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
10.5. Оператор сообщает в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
10.6. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
10.7. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
10.8. Оператор прекращает обработку персональных данных или обеспечивает прекращение обработки персональных данных лицом, действующим по поручению оператора:
- в случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, в срок, не превышающий трех рабочих дней с даты этого выявления;- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператором в срок, не превышающий тридцати дней с даты поступления указанного отзыва;
- в случае достижения цели обработки персональных данных с дальнейшим уничтожением персональных данных или обеспечения их уничтожения (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных;
- в случае обращения субъекта персональных данных с требованием о прекращении обработки персональных данных в срок, не превышающий десяти рабочих дней с даты получения соответствующего требования.
10.9. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор с момента выявления такого инцидента оператором, или уполномоченным органом по защите прав субъектов персональных данных, или иным заинтересованным лицом уведомляет уполномоченный орган по защите прав субъектов персональных данных:
- в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;-в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также о лицах, действия которых стали причиной выявленного инцидента (при наличии).
10.10. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
10.11. Оператор осуществляет контроль за приёмом и обработкой обращений пользователей по вопросам персональных данных в целях обеспечения соблюдения прав и законных интересов субъектов персональных данных, требований к срокам обработки обращений и предоставления необходимой информации по соответствующим обращениям в соответствии с законодательством в сфере персональных данных.
10.12. Субъект персональных данных имеет право на получение информации (далее – запрашиваемая субъектом информация), касающейся обработки его персональных данных, в том числе содержащей: - подтверждение факта обработки персональных данных оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые оператором способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- информацию о способах исполнения оператором обязанностей, установленных статьёй 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
- иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.
10.13. Субъект персональных данных имеет право на получение запрашиваемой субъектом информации, за исключением следующих случаев:
- обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;- обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно – процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
- обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
- обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
10.14. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
10.15. Запрашиваемая субъектом информация предоставляется субъекту персональных данных Обществом в доступной форме, и в ней не содержатся персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
10.16. Запрашиваемая информация предоставляется субъекту персональных данных или его представителю оператором в течение десяти рабочих дней с момента обращения либо получения оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя (далее – необходимая для запроса информация). Запрос может быть направлен как на почтовый адрес ООО «СТРОЙЛАНДИЯ.РУ»: 460040, Оренбург, ул. 16-линия, д. 16 корп. 1, так и в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации на электронный адрес ООО «СТРОЙЛАНДИЯ.РУ»: office@stroylandiya.ru. Оператор предоставляет запрашиваемые сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение или запрос, если иное не указано в обращении или запросе.
10.17. В случае если запрашиваемая субъектом информация, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить повторный запрос в целях получения запрашиваемой субъектом информации и ознакомления с такими персональными данными не ранее чем через тридцать дней (далее – нормированный срок запроса) после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
10.18. Субъект персональных данных вправе обратиться повторно к оператору или направить повторный запрос в целях получения запрашиваемой субъектом информации, а также в целях ознакомления с обрабатываемыми персональными данными до истечения нормированного срока запроса, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с необходимой для запроса информацией должен содержать обоснование направления повторного запроса.
10.19. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
10.20. Общество, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», до начала обработки персональных данных уведомляет уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.
10.21. Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление содержит следующие сведения:
- наименование (фамилия, имя, отчество), адрес Общества; цель обработки персональных данных;- описание мер, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; - фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
- дата начала обработки персональных данных;
- срок или условие прекращения обработки персональных данных;
- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
- сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации; - фамилия, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах;
- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
10.22. В случае изменения указанных сведений Общество не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, уведомляет уполномоченный орган по защите прав субъектов персональных данных обо всех произошедших за указанный период изменениях. В случае прекращения обработки персональных данных Общество уведомляет об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты прекращения обработки персональных данных.
11. Отзыв согласия на обработку персональных данных
11.1. Субъект вправе в любой момент отозвать согласие на обработку персональных данных, удалив личный кабинет, либо направив соответствующее обращение оформленного в соответствии с Приложением № 4 к настоящей Политике ПД по адресу электронной почты office@stroylandiya.ru.
11.2. В случае отзыва субъектом персональных данных – владельцем личного кабинета, согласия на обработку его персональных данных, личный кабинет субъекта персональных данных будет удалён.
11.3. В случае возникновения любых вопросов и обращений касательно обработки персональных данных субъект может обратиться по адресу электронной почты office@stroylandiya.ru.
11.4. При наличии подписок на получение информационных и/или рекламных коммуникаций, дополнительно к указанному выше субъект может отписаться от таких коммуникаций:
- путём активации автоматической функции «Отписаться» по ссылке, присутствующей в электронном письме (если функция доступна и поддерживается пользовательским устройством), содержащем коммуникацию. В этом случае оператор прекращает направление коммуникаций на адрес электронной почты, с которого была активирована функция;- путём «переключения нажатой галочки» рядом с текстом «Получать информацию о скидках, специальных предложениях и акциях, которые организуют продавцы, партнёры в разделе «Личные данные» вашего Личного кабинета на сайте stroylandiya.ru;
- путём направления соответствующего обращения по адресу электронной почты office@stroylandiya.ru.
12. Обеспечение безопасности персональных данных
12.1. Оператор предпринимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
12.2. Обеспечение безопасности персональных данных достигается, в частности:
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- применением для уничтожения персональных данных, прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учетом машинных носителей персональных данных;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
12.3. Оператором для обеспечения безопасности персональных данных приняты следующие меры:
- назначено лицо, ответственное за организацию обработки персональных данных;- назначен администратор безопасности информационной системы персональных данных;
- утверждены документы, определяющие политику оператора в отношении обработки персональных данных и устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства;
- внутренний контроль соответствия обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных проводится в соответствии с планом внутренних проверок;
- разработана модель угроз безопасности информации (персональных данных), которой определены актуальные угрозы безопасности персональных данных и проводится оценка возможного вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства;
- локальным актом оператора установлен перечень сведений конфиденциального характера, в т.ч. персональные данные, определен порядок обработки таких сведений, установлена обязанность заключения с сотрудниками, осуществляющими обработку персональных данных либо имеющим к ним доступ, соглашения об обеспечении конфиденциальности;
- установлены правила доступа к персональным данным сотрудниками, в должностные обязанности которых входит осуществление обработки либо доступ к персональным данным;
- с сотрудниками, допущенными к обработке персональных данных, проводится инструктаж по информационной безопасности и занятия по изучению требований законодательства Российской Федерации в сфере персональных данных и локальных актов оператора.
12.4. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено действующим законодательством Российской Федерации.
12.5. При обработке персональных данных в информационных системах оператор руководствуется Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 01.11.2012 г. № 1119. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных утверждены Приказом ФСТЭК России от 18.02.2013 г. № 21.
13. Трансграничная передача персональных данных
13.1. Персональные данный субъекта обрабатываемые с использованием средств автоматизации хранятся на серверных ресурсах, расположенных на территории Российской Федерации соответствующих требованиям ФЗ Российской Федерации №152-ФЗ «О персональных данных».
13.2. Трансграничная передача персональных данных не осуществляется.
14. Сферы ответственности
14.1. Общество назначает лицо, ответственное за организацию обработки персональных данных.
14.2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.
14.3. Общество предоставляет лицу, ответственному за организацию обработки персональных данных, необходимые сведения.
14.4. Лицо, ответственное за организацию обработки персональных данных, в частности, выполняет следующие функции:
- осуществляет внутренний контроль за соблюдением Обществом и работниками Общества законодательства Российской Федерации в сфере персональных данных, в том числе требований к защите персональных данных;- доводит до сведения работников Общества положения законодательства Российской Федерации в сфере персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
- организовывает прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов.
15. Заключительные положения
15.1. К настоящей Политике ПД обеспечивается неограниченный доступ путем размещения на официальном сайте Общества.
15.2. Настоящая Политика ПД подлежит актуализации в случае принятия изменений в законодательстве Российской Федерации в области персональных данных, но не реже одного раза в три года.
15.3. Контроль актуальности и исполнения требований настоящей Политики ПД осуществляется должностным лицом Общества, ответственным за организацию обработки персональных данных.
15.4. Должностные лица Общества, осуществляющие обработку персональных данных либо имеющие к ним доступ, несут ответственность за несоблюдение установленного законодательством Российской Федерации и локальными актами Общества порядка и требований при обработке персональных данных в соответствии с законодательством Российской Федерации и внутренними документами Общества.
15.5. Все изменения, внесённые в настоящую Политику ПД в отношении обработки персональных данных, учитываются в листе «История изменений».
16. Приложения
- Приложение 1- Приложение 2
- Приложение 3
- Приложение 4