Есть вопрос о мероприятии?
Напишите, и мы свяжемся с вами!
Есть вопрос о мероприятии?
Напишите, и мы свяжемся с вами!
Есть вопрос о мероприятии?
Напишите, и мы свяжемся с вами!
Оставьте ваши контакты, чтобы получить консультацию
Наш специалист свяжется с вами
Оставьте ваши контакты, чтобы получить консультацию
Наш специалист свяжется с вами
Если вы хотите участвовать в фестивале "Жарим Лето!"2024, пожалуйста, заполните форму
Если вы хотите участвовать в HR-диалоге: мотивация персонала, пожалуйста, заполните форму
Если у вас есть вопросы, заполните форму и мы позвоним в течение одно рабочего дня
Политика конфиденциальности
Есть вопрос о мероприятии?
Напишите, и мы свяжемся с вами!
1. Общие положения
1.1.Настоящая Политика в отношении обработки персональных данных (далее по тексту – Политика) определяет политику Общества с ограниченной ответственностью «АСТ Компания»(ООО «АСТ Компания») в области обработки и обеспечения безопасности персональных данных, устанавливает процедуры обработки и защиты персональных данных.
1.2.Политика определяет основные принципы, цели, условия, способы и процедуру обработки персональных данных обрабатываемых в ООО «АСТ Компания», функции ООО «АСТ Компания» при обработке персональных данных, права субъектов персональных данных, а также реализуемые в ООО «АСТ Компания» требования к защите персональных данных.
1.3.Политика разработана с учетом требований Конституции Российской Федерации, Трудового кодекса, Гражданского кодекса, Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Закона РФ от 27.11.1992 N 4015-1 «Об организации страхового дела в Российской Федерации», Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных», Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности», Федерального закона от 23.12.2003 № 177-ФЗ «О страховании вкладов физических лиц в банках Российской Федерации», Федерального закона от 30.12.2004 № 218-ФЗ «О кредитных историях».
1.4.Настоящая Политика распространяется на отношения по обработке и защите персональных данных, полученных ООО «АСТ Компания» как до, так и после утверждения настоящей Политики, за исключением случаев, когда по причинам правового, организационного и иного характера настоящая Политика об обработке и защите персональных данных не может быть распространена на отношения по обработке и защите персональных данных, полученных до ее утверждения.
2. Термины и определения
В настоящей Политике нижеуказанные термины и определения имеют следующее значение:
Политика – настоящая Политика в отношении обработки персональных данных.
Компания / Оператор / Работодатель – Общество с ограниченной ответственностью «Лаборатория автоматизации бизнеса».
Работник – физическое лицо, вступившее в трудовые отношения с Компанией.
Кандидаты – физические лица, претендующие на замещение вакантной должности в Компании и намеревающееся вступить с Компанией в трудовые отношения.
Контрагенты – физические лица, с которыми Компания вступает или намеревается вступить в договорные отношения, или физические лица-представители юридических лиц, с которыми Компания вступает или намеревается вступить в договорные отношения.
Информация – сведения (сообщения, данные) независимо от формы их предоставления.
Закон о персональных данных – Федеральный закон «О персональных данных» № 152-ФЗ от 27 июля 2006 года (с изменениями).
Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Далее по тексту термин может употребляться как с заглавной, так и со строчной буквы.
Для целей настоящей Политики персональные данные делятся на следующие категории:
- биометрические персональные данные (ст. 10 Закона о персональных данных);
- специальные персональные данные (ст. 11 Закона о персональных данных);
- иные персональные данные (все иные Персональные данные, не подпадающие под перечисленные выше категории).
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
Специальные категории персональных данных – категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, удаление, блокирование, уничтожение персональных данных.
Субъект персональных данных – Работники, Кандидаты и Контрагенты Компании, а также иные физические лица, обработка персональных данных которых осуществляется Компанией в соответствии с настоящей Политикой (далее также именуется «Субъект» или во множественном числе – «Субъекты».
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Конфиденциальность персональных данных – обязанность лица, получившего доступ к персональным данным, не раскрывать их третьим лицам и не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Персональные данные, разрешенные Субъектом для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен Субъектом путем дачи согласия на обработку персональных данных, разрешенных Субъектом для распространения.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Роскомнадзор – Федеральная Служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (уполномоченный федеральный орган исполнительной власти по защите прав Субъектов персональных данных).
Ответственный за обработку персональных данных – работник Компании, назначенный ответственным за организацию обработки персональных данных приказом.
Все должности, указанные в настоящей Политике, определяются в соответствии с штатным расписанием Компании, если иное специально не предусмотрено в настоящей Политике.
3. Правовые основания обработки персональных данных
3.1.Правовыми основаниями обработки персональных данных являются следующие нормативные правовые акты:
• Конституция Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Кодекс Российской Федерации об административных правонарушениях;
• Трудовой кодекс Российской Федерации;
• Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
• Федеральный закон от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
• Федеральный закон от 22.10.2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации»;
• иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Компании.
3.2.Правовыми основаниями обработки персональных данных Оператором также являются:
• Устав Компании;
• договоры, заключаемые между Компанией и Субъектом персональных данных;
• договоры, заключаемые с компаниями-контрагентами;
• Публичная оферта, размещенная на сайтах по поиску работы;
• согласие Субъекта на обработку персональных данных.
4. Принципы обработки персональных данных
4.1.Обработка персональных данных в Компании должна осуществляться с соблюдением следующих принципов:
(I) определение целей – сбор и обработка персональных данных должны ограничиваться достижением конкретных, справедливых и законных целей. Не допускается дальнейшее использование персональных данных в целях, которые не были напрямую заявлены при сборе персональных данных. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
(II) ограничения на сбор персональных данных – сбор персональных данных должен осуществляться в объеме, необходимом для достижения целей, на основании закона и в надлежащем порядке; не допускается сбор излишних персональных данных. Не допускается сбор персональных данных в целях, не соответствующих целям, заранее определенным и заявленным при сборе персональных данных. Факт сбора и цели обработки персональных данных должны быть известны субъекту персональных данных;
(III) достоверность и актуальность – персональные данные должны быть точными, актуальными и достоверными. Необходимо своевременно и надлежащим образом исправлять неточности в сведениях, составляющих персональные данные. Компания принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
(IV) ограниченный доступ – доступ к персональным данным и их использование должны ограничиваться тем кругом лиц в Компании, которым требуется доступ в соответствии со служебной необходимостью;
(V) хранение не дольше необходимого срока – персональные данные подлежат уничтожению (удалению) в случае утраты необходимости в них, их недостоверности или неточности. Персональные данные хранятся в течение необходимого срока в соответствии с требованиями законодательства и иных нормативно-правовых актов, либо не дольше, чем этого требуют соответствующие законные цели;
(VI) надежная защита при хранении – персональные данные всегда должны быть надежно защищены при хранении как с использованием автоматизированных средств, так и без таковых. В информационных системах по управлению обработке данных должны быть предусмотрены соответствующие технические и организационные меры для защиты персональных данных от случайного или незаконного уничтожения, а также случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, в тех случаях, когда обработка требует передачи персональных данных по сети, равно как и от любых других незаконных форм обработки;
(VII) соблюдение применимого законодательства – любая обработка должна осуществляться в соответствии с применимым законодательством о защите данных и неприкосновенности личной жизни.
5. Категории и состав обрабатываемых персональных данных, цели обработки персональных данных
5.1.Компанией обрабатываются персональные данные в отношении:
- кандидатов на работу и работников Компании;
- уволенных работников Компании, близких родственники/членов семьи работников;
- потенциальных клиентов;
- физических лиц, заключивших с Компанией гражданско-правовые договоры на
оказание услуг;
- пользователей сайта Компании;
- работников и представителей Контрагентов Компании, субподрядчиков, поставщиков и других юридических лиц, имеющих договорные отношения с Компанией;
- клиентов других юридических лиц, обработка персональных данных для которых
осуществляется по поручению указанных юридических лиц в соответствии с
законодательством Российской Федерации;
- Участников Компании;
- иным субъектам, вступившим или намеревающимися вступить в договорные
отношения с Компанией;
5.2.Не допускается обработка следующих персональных данных:
(I) персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
(II) данных, касающихся реализации лицом права на объединение, ведение коллективных переговоров или другой профсоюзной деятельности, принадлежности к той или иной общественной организации;
(III) данных, касающихся участия лица в собраниях, митингах, демонстрациях, шествиях, пикетированиях либо осуществления других политических прав;
(IV) биометрических персональных данных.
5.3.В соответствии со ст. 10-11 Закона о персональных данных, п. 5.2. не распространяется на ситуации, когда получено письменное согласие субъекта персональных данных, либо, когда это предусмотрено действующим законодательством.
5.4.Объем обрабатываемых персональных данный по каждой категории субъекта определяется в положении об обработке и защите персональных данных в Компании.
6. Обработка персональных данных
6.1.Обрабатываемые персональные данные Компания получает:
- непосредственно у самих субъектов персональных данных;
- от лиц, не являющихся субъектами персональных данных;
- из общедоступных источников персональных данных.
6.2.В Компании осуществляется обработка персональных данных исключительно на законных основаниях. Во всех предусмотренных законодательством Российской Федерации случаях в Компании организуется получение согласия Субъекта на обработку его персональных данных в письменной форме.
6.3.Получение персональных данных от лица, не являющегося Субъектом, осуществляется при наличии следующих оснований:
- для достижения целей, предусмотренных законодательством Российской Федерации, или для осуществления и выполнения возложенных законодательством Российской Федерации на Компанию функций, полномочий и обязанностей;
- для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект, а также для заключения договора по инициативе Субъекта или договора, по которому Субъект будет являться выгодоприобретателем или поручителем;
- для осуществления прав и законных интересов Компании или третьих лиц при условии, что при этом не нарушаются права и свободы Субъекта;
- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен Субъектом либо по его просьбе (персональные данные, сделанные общедоступными Субъектом);
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законодательством.
6.4.В Компании осуществляется обработка персональных данных как с использованием средств автоматизации, так и без использования таких средств. Способы обработки персональных данных в Компании включают: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступа), блокирование, удаление, уничтожение персональных данных.
6.5.В Компании не осуществляются действия, направленные на раскрытие персональных данных неопределенному кругу лиц (т.е. не осуществляется распространение персональных данных).
6.6.Компания не раскрывает и не предоставляет третьим лицам персональные данные без согласия Субъекта, полученного в требуемой законодательством Российской Федерации форме (за исключением случаев, предусмотренных законодательством).
6.7.Для выполнения, возложенных законодательством Российской Федерации функций, полномочий и обязанностей, а также для достижения своих уставных целей и договорных обязательств, Компания предоставляет часть обрабатываемых персональных данных:
- в Пенсионный фонд Российской Федерации;
- в Фонд социального страхования Российской Федерации;
- в Федеральную налоговую службу Российской Федерации;
- в правоохранительные органы Российской Федерации (по запросу) и иные уполномоченные организации;
- в банки;
- в страховые компании.
6.8.Компания вправе поручить обработку персональных данных другому лицу с согласия Субъекта на основании заключаемого с этим лицом договора. Договор должен содержать перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Закона о персональных данных, обязанность по запросу Оператора в течение срока действия поручения Оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона о персональных данных.
6.9.В Компании не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также персональных данных о судимости Субъектов.
6.10. В Компании может осуществляться обработка персональных данных в целях продвижения товаров и услуг на рынке в том числе передачи информационных и
рекламных сообщений путем осуществления прямых контактов
с помощью средств связи, предоставления информации об Операторе, его продуктах и услугах, усовершенствования продуктов и (или) услуг, для разработки новых продуктов и (или) услуг, ведения статистики о пользователях сайта, обеспечения функционирования и улучшения качества сайта, улучшения программного обеспечения Компании может осуществляться обработка персональных данных в целях продвижения товаров и услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи только при условии получения предварительного согласия Субъекта;
6.11. Компания не осуществляет трансграничную передачу персональных данных.
6.12. Используемые в Компании базы данных информации, содержащей персональные данные граждан Российской Федерации, располагаются на территории Российской Федерации.
6.13. В Компании не принимаются решения, порождающие юридические последствия в отношении Субъекта или иным образом затрагивающие его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.
6.14. Обработка персональных данных в Компании осуществляется не дольше, чем этого требуют цели обработки персональных данных.
7. Хранение персональных данных
7.1.В Компании организуется хранение персональных данных в течение времени, установленного требованиями законодательства, а также в отдельных случаях в течение времени, установленного договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект персональных данных.
7.2.При достижении целей обработки персональных данных, в случае утраты необходимости в достижении этих целей, по окончанию сроков хранения персональных данных, обрабатываемые персональных данных уничтожаются.
7.3.Хранение Персональных данных осуществляется в форме, позволяющей определить Субъекта Персональных данных не дольше, чем этого требуют цели Обработки Персональных данных, кроме случаев, когда срок хранения Персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект Персональных данных
7.4.Главным условием хранения бумажных носителей персональных данных является невозможность получения доступа к таким документам со стороны лиц, которым такой доступ не предоставлен.
7.5.Запрещается совместное хранение носителей персональных данных с другими документами, не содержащими персональные данные, кроме случаев, когда носители персональных данных являются приложениями к другим документам или наоборот.
7.6.Во время работы на столе должны находиться только те носители, непосредственно с которыми ведется работа.
7.7.Носители персональных данных должны быть убраны в шкаф или ящик, запираемые на ключ, в следующих случаях:
- когда с носителем персональных данных не ведется работа;
- когда работник покидает рабочее место;
- по окончании рабочего дня.
7.8.Ответственность за соблюдение норм, описанных в данном разделе, возлагается на всех работников, допущенных к обработке персональных данных, а контроль их выполнения возлагается на Ответственного за обработку персональных данных.
7.9.Работники Компании, имеющие доступ к персональным данным Субъектов в связи с исполнением трудовых обязанностей, обязаны обеспечивать хранение информации, содержащей персональные данные Субъектов, исключающее неправомерный или случайный доступ к ним.
7.10. В случае необходимости работник обязан передать документы и иные носители, содержащие персональные данные Субъектов, работнику, на которого организационно-распорядительным актом (приказом, распоряжением) или должностной инструкцией возложено исполнение его трудовых обязанностей.
7.11. В случае увольнении работника, имеющего доступ к персональным данным Субъектов, документы и иные носители, содержащие персональные данные Субъектов, передаются другому работнику, имеющему доступ к персональным данным Субъектов, по указанию непосредственного руководителя.
7.12. Компания блокирует обрабатываемые персональные данные при выявлении их недостоверности или неправомерных действий в отношении Субъекта по требованию Субъекта, его законного представителя или Роскомнадзора или в результате проведения внутренних контрольных мероприятий.
8. Уничтожение персональных данных
8.1.Персональные данные, цель обработки которых достигнута, подлежат уничтожению, если более длительный срок их хранения не предусмотрен действующим законодательством Российской Федерации.
8.2.При уничтожении персональных данных необходимо уничтожить соответствующие носители таким образом, чтобы восстановление содержания персональных данных стало невозможным. Уничтожение бумажных носителей персональных данных производится с помощью специальных бумагорезательных технических средств (шредеров).
8.3.При утилизации компьютера или носителя информации, на котором записаны персональные данные, должно использоваться специальное программное обеспечение, предназначенное для полного разрушения персональных данных, или же данный носитель информации должен быть физически уничтожен до его утилизации.
8.4.Порядок уничтожения персональных данных и ответственное лицо за уничтожение персональных данных в Компании устанавливаются локальным актом Компании.
9. Права и обязанности субъектов персональных данных
9.1.Субъекты принимают решение о предоставлении своих персональных данных Компании и в случаях, установленных Законом о персональных данных, дают согласия на их обработку своей волей и в своих интересах.
9.2.Субъект, персональные данные которого обрабатываются Компанией, имеет право на доступ к своим персональным данным.
9.3.Субъектам персональных данных, если иное не предусмотрено законодательством Российской Федерации, предоставлено право на получение следующей информации о собственных персональных данных по письменному запросу:
(I) подтверждение факта обработки персональных данных Компанией;
(II) правовые основания и цели обработки персональных данных;
(III) цели и применяемые Компанией способы обработки персональных данных;
(IV) наименование и местонахождение Компании, информация о лицах (кроме работников Компании), которые имеют доступ к персональным данным или которым персональные данные могут быть раскрыты на основании договора с Компанией или на основании федерального закона;
(V) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник этих данных, если иной порядок представления таких данных не предусмотрен действующим законодательством;
(VI) срок обработки персональных данных, включая срок хранения данных
(VII) порядок осуществления субъектом персональных данных своих прав, предусмотренных Законом о персональных данных;
(VIII) информация о совершенной или предполагаемой трансграничной передаче персональных данных;
(IX) наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по просьбе Компании, если такому лицу была или будет поручена такая обработка данных;
(X) информацию о способах исполнения Оператором обязанностей, установленных статьей 18.1 Закона о персональных данных;
(XI) другая информация, предусмотренная Законом о персональных данных или другими федеральными законами.
9.4.Сведения, указанные в п. 9.3. настоящей Политики, предоставляются Субъекту или его представителю Компанией при обращении либо при получении письменного запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Компанией либо сведения, иным образом подтверждающие факт обработки персональных данных Компанией, подпись субъекта персональных данных или его представителя.
9.5.Компания обязана направить свой ответ на запрос в течение 10 рабочих дней со дня получения оформленного в соответствии с п. 9.4. письменного запроса от Субъекта или его полномочного законного представителя. Ответ на запрос должен быть предоставлен Субъекту в доступной форме, и в нем не должны содержаться персональные данные, относящиеся к другим Субъектам.
9.6.Если Субъект считает, что Компания осуществляет обработку его персональных данных с нарушением требований законодательства Российской Федерации или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
9.7.Субъект персональных данных, являющийся работником Компании, в частности, имеет право:
(I) пользоваться свободным доступом к своим персональным данным; при этом субъект персональных данных имеет право на получение копии любого документа, содержащего его персональные данные, если иное не предусмотрено законодательством;
(II) выбирать представителей для защиты своих персональных данных;
(III) требовать от Компании исправления или дополнения ошибочных, недостоверных, устаревших или неполных персональных данных.
9.8.Субъект персональных данных, являющийся работником Компании, в частности, обязан:
(I) передавать Компании или своему представителю точные и документально подтвержденные персональные данные в установленном российским законодательством порядке;
(II) своевременно и в разумные сроки информировать Компанию об изменениях своих персональных данных.
9.9.Компания обязана вести учет обращений субъектов персональных данных об осуществлении их законных прав.
10. Меры по обеспечению безопасности персональных данных при их обработке
10.1. При обработке персональных данных Компания принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
10.2. Обеспечение безопасности персональных данных достигается Компанией самостоятельно, в частности, это может осуществляться применением следующих мер:
(I) назначение Компанией Ответственного за обработку персональных данных.
(II) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям законодательства Российской Федерации;
(III) осуществление обработки персональных данных без использования средств автоматизации таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
(IV) раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
(V) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных (при наличии информационных систем);
(VI) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации;
(VII) ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Компании в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
(VIII) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (при наличии таких информационных систем), необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
(IX) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных (при наличии таких информационных систем);
(X) учет средств защиты информации, включая машинные носители персональных данных;
(XI) обнаружение фактов несанкционированного доступа к персональным данным и принятие необходимых мер:
(XII) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
(XIII) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных (при наличии таких информационных систем);
(XIV) проведение инструктажа по информационной безопасности;
(XV) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных (при наличии таких информационных систем).
10.3. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии их хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
10.4. Работники Компании, допущенные к обработке персональных данных, обязаны:
- знать и неукоснительно выполнять положения законодательства Российской Федерации в области персональных данных, настоящей Политики, локальных актов по вопросам обработки персональных данных;
- обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;
- не разглашать персональные данные, обрабатываемые в Компании;
- сообщать о действиях других лиц, которые могут привести к нарушению положений настоящей Политики;
- сообщать об известных фактах нарушения требований настоящей Политики лицу, ответственному за организацию обработки персональных данных в Компании.
11. Ответственность
11.1. Контроль, за соблюдением настоящей Политики осуществляет Ответственный за обработку персональных данных.
11.2. Работники несут ответственность за соблюдение требование Политики в соответствии с законодательством Российской Федерации.
12. Заключительные положения
12.1. Настоящий документ подлежит пересмотру в случае внесения изменений в законодательство Российской Федерации в сфере персональных данных, если положения настоящей Политики вступают в противоречие с законодательством Российской Федерации. Положения Политики, противоречащие законодательству Российской Федерации, в таком случае не подлежат применению.
1.1.Настоящая Политика в отношении обработки персональных данных (далее по тексту – Политика) определяет политику Общества с ограниченной ответственностью «АСТ Компания»(ООО «АСТ Компания») в области обработки и обеспечения безопасности персональных данных, устанавливает процедуры обработки и защиты персональных данных.
1.2.Политика определяет основные принципы, цели, условия, способы и процедуру обработки персональных данных обрабатываемых в ООО «АСТ Компания», функции ООО «АСТ Компания» при обработке персональных данных, права субъектов персональных данных, а также реализуемые в ООО «АСТ Компания» требования к защите персональных данных.
1.3.Политика разработана с учетом требований Конституции Российской Федерации, Трудового кодекса, Гражданского кодекса, Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Закона РФ от 27.11.1992 N 4015-1 «Об организации страхового дела в Российской Федерации», Федерального закона 27.07.2006 № 152-ФЗ «О персональных данных», Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности», Федерального закона от 23.12.2003 № 177-ФЗ «О страховании вкладов физических лиц в банках Российской Федерации», Федерального закона от 30.12.2004 № 218-ФЗ «О кредитных историях».
1.4.Настоящая Политика распространяется на отношения по обработке и защите персональных данных, полученных ООО «АСТ Компания» как до, так и после утверждения настоящей Политики, за исключением случаев, когда по причинам правового, организационного и иного характера настоящая Политика об обработке и защите персональных данных не может быть распространена на отношения по обработке и защите персональных данных, полученных до ее утверждения.
2. Термины и определения
В настоящей Политике нижеуказанные термины и определения имеют следующее значение:
Политика – настоящая Политика в отношении обработки персональных данных.
Компания / Оператор / Работодатель – Общество с ограниченной ответственностью «Лаборатория автоматизации бизнеса».
Работник – физическое лицо, вступившее в трудовые отношения с Компанией.
Кандидаты – физические лица, претендующие на замещение вакантной должности в Компании и намеревающееся вступить с Компанией в трудовые отношения.
Контрагенты – физические лица, с которыми Компания вступает или намеревается вступить в договорные отношения, или физические лица-представители юридических лиц, с которыми Компания вступает или намеревается вступить в договорные отношения.
Информация – сведения (сообщения, данные) независимо от формы их предоставления.
Закон о персональных данных – Федеральный закон «О персональных данных» № 152-ФЗ от 27 июля 2006 года (с изменениями).
Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Далее по тексту термин может употребляться как с заглавной, так и со строчной буквы.
Для целей настоящей Политики персональные данные делятся на следующие категории:
- биометрические персональные данные (ст. 10 Закона о персональных данных);
- специальные персональные данные (ст. 11 Закона о персональных данных);
- иные персональные данные (все иные Персональные данные, не подпадающие под перечисленные выше категории).
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
Специальные категории персональных данных – категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, удаление, блокирование, уничтожение персональных данных.
Субъект персональных данных – Работники, Кандидаты и Контрагенты Компании, а также иные физические лица, обработка персональных данных которых осуществляется Компанией в соответствии с настоящей Политикой (далее также именуется «Субъект» или во множественном числе – «Субъекты».
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Конфиденциальность персональных данных – обязанность лица, получившего доступ к персональным данным, не раскрывать их третьим лицам и не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Персональные данные, разрешенные Субъектом для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен Субъектом путем дачи согласия на обработку персональных данных, разрешенных Субъектом для распространения.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Роскомнадзор – Федеральная Служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (уполномоченный федеральный орган исполнительной власти по защите прав Субъектов персональных данных).
Ответственный за обработку персональных данных – работник Компании, назначенный ответственным за организацию обработки персональных данных приказом.
Все должности, указанные в настоящей Политике, определяются в соответствии с штатным расписанием Компании, если иное специально не предусмотрено в настоящей Политике.
3. Правовые основания обработки персональных данных
3.1.Правовыми основаниями обработки персональных данных являются следующие нормативные правовые акты:
• Конституция Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Кодекс Российской Федерации об административных правонарушениях;
• Трудовой кодекс Российской Федерации;
• Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
• Федеральный закон от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
• Федеральный закон от 22.10.2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации»;
• иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Компании.
3.2.Правовыми основаниями обработки персональных данных Оператором также являются:
• Устав Компании;
• договоры, заключаемые между Компанией и Субъектом персональных данных;
• договоры, заключаемые с компаниями-контрагентами;
• Публичная оферта, размещенная на сайтах по поиску работы;
• согласие Субъекта на обработку персональных данных.
4. Принципы обработки персональных данных
4.1.Обработка персональных данных в Компании должна осуществляться с соблюдением следующих принципов:
(I) определение целей – сбор и обработка персональных данных должны ограничиваться достижением конкретных, справедливых и законных целей. Не допускается дальнейшее использование персональных данных в целях, которые не были напрямую заявлены при сборе персональных данных. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
(II) ограничения на сбор персональных данных – сбор персональных данных должен осуществляться в объеме, необходимом для достижения целей, на основании закона и в надлежащем порядке; не допускается сбор излишних персональных данных. Не допускается сбор персональных данных в целях, не соответствующих целям, заранее определенным и заявленным при сборе персональных данных. Факт сбора и цели обработки персональных данных должны быть известны субъекту персональных данных;
(III) достоверность и актуальность – персональные данные должны быть точными, актуальными и достоверными. Необходимо своевременно и надлежащим образом исправлять неточности в сведениях, составляющих персональные данные. Компания принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
(IV) ограниченный доступ – доступ к персональным данным и их использование должны ограничиваться тем кругом лиц в Компании, которым требуется доступ в соответствии со служебной необходимостью;
(V) хранение не дольше необходимого срока – персональные данные подлежат уничтожению (удалению) в случае утраты необходимости в них, их недостоверности или неточности. Персональные данные хранятся в течение необходимого срока в соответствии с требованиями законодательства и иных нормативно-правовых актов, либо не дольше, чем этого требуют соответствующие законные цели;
(VI) надежная защита при хранении – персональные данные всегда должны быть надежно защищены при хранении как с использованием автоматизированных средств, так и без таковых. В информационных системах по управлению обработке данных должны быть предусмотрены соответствующие технические и организационные меры для защиты персональных данных от случайного или незаконного уничтожения, а также случайной потери, изменения, несанкционированного раскрытия или доступа, в частности, в тех случаях, когда обработка требует передачи персональных данных по сети, равно как и от любых других незаконных форм обработки;
(VII) соблюдение применимого законодательства – любая обработка должна осуществляться в соответствии с применимым законодательством о защите данных и неприкосновенности личной жизни.
5. Категории и состав обрабатываемых персональных данных, цели обработки персональных данных
5.1.Компанией обрабатываются персональные данные в отношении:
- кандидатов на работу и работников Компании;
- уволенных работников Компании, близких родственники/членов семьи работников;
- потенциальных клиентов;
- физических лиц, заключивших с Компанией гражданско-правовые договоры на
оказание услуг;
- пользователей сайта Компании;
- работников и представителей Контрагентов Компании, субподрядчиков, поставщиков и других юридических лиц, имеющих договорные отношения с Компанией;
- клиентов других юридических лиц, обработка персональных данных для которых
осуществляется по поручению указанных юридических лиц в соответствии с
законодательством Российской Федерации;
- Участников Компании;
- иным субъектам, вступившим или намеревающимися вступить в договорные
отношения с Компанией;
5.2.Не допускается обработка следующих персональных данных:
(I) персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
(II) данных, касающихся реализации лицом права на объединение, ведение коллективных переговоров или другой профсоюзной деятельности, принадлежности к той или иной общественной организации;
(III) данных, касающихся участия лица в собраниях, митингах, демонстрациях, шествиях, пикетированиях либо осуществления других политических прав;
(IV) биометрических персональных данных.
5.3.В соответствии со ст. 10-11 Закона о персональных данных, п. 5.2. не распространяется на ситуации, когда получено письменное согласие субъекта персональных данных, либо, когда это предусмотрено действующим законодательством.
5.4.Объем обрабатываемых персональных данный по каждой категории субъекта определяется в положении об обработке и защите персональных данных в Компании.
6. Обработка персональных данных
6.1.Обрабатываемые персональные данные Компания получает:
- непосредственно у самих субъектов персональных данных;
- от лиц, не являющихся субъектами персональных данных;
- из общедоступных источников персональных данных.
6.2.В Компании осуществляется обработка персональных данных исключительно на законных основаниях. Во всех предусмотренных законодательством Российской Федерации случаях в Компании организуется получение согласия Субъекта на обработку его персональных данных в письменной форме.
6.3.Получение персональных данных от лица, не являющегося Субъектом, осуществляется при наличии следующих оснований:
- для достижения целей, предусмотренных законодательством Российской Федерации, или для осуществления и выполнения возложенных законодательством Российской Федерации на Компанию функций, полномочий и обязанностей;
- для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект, а также для заключения договора по инициативе Субъекта или договора, по которому Субъект будет являться выгодоприобретателем или поручителем;
- для осуществления прав и законных интересов Компании или третьих лиц при условии, что при этом не нарушаются права и свободы Субъекта;
- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен Субъектом либо по его просьбе (персональные данные, сделанные общедоступными Субъектом);
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законодательством.
6.4.В Компании осуществляется обработка персональных данных как с использованием средств автоматизации, так и без использования таких средств. Способы обработки персональных данных в Компании включают: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступа), блокирование, удаление, уничтожение персональных данных.
6.5.В Компании не осуществляются действия, направленные на раскрытие персональных данных неопределенному кругу лиц (т.е. не осуществляется распространение персональных данных).
6.6.Компания не раскрывает и не предоставляет третьим лицам персональные данные без согласия Субъекта, полученного в требуемой законодательством Российской Федерации форме (за исключением случаев, предусмотренных законодательством).
6.7.Для выполнения, возложенных законодательством Российской Федерации функций, полномочий и обязанностей, а также для достижения своих уставных целей и договорных обязательств, Компания предоставляет часть обрабатываемых персональных данных:
- в Пенсионный фонд Российской Федерации;
- в Фонд социального страхования Российской Федерации;
- в Федеральную налоговую службу Российской Федерации;
- в правоохранительные органы Российской Федерации (по запросу) и иные уполномоченные организации;
- в банки;
- в страховые компании.
6.8.Компания вправе поручить обработку персональных данных другому лицу с согласия Субъекта на основании заключаемого с этим лицом договора. Договор должен содержать перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Закона о персональных данных, обязанность по запросу Оператора в течение срока действия поручения Оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона о персональных данных.
6.9.В Компании не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также персональных данных о судимости Субъектов.
6.10. В Компании может осуществляться обработка персональных данных в целях продвижения товаров и услуг на рынке в том числе передачи информационных и
рекламных сообщений путем осуществления прямых контактов
с помощью средств связи, предоставления информации об Операторе, его продуктах и услугах, усовершенствования продуктов и (или) услуг, для разработки новых продуктов и (или) услуг, ведения статистики о пользователях сайта, обеспечения функционирования и улучшения качества сайта, улучшения программного обеспечения Компании может осуществляться обработка персональных данных в целях продвижения товаров и услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи только при условии получения предварительного согласия Субъекта;
6.11. Компания не осуществляет трансграничную передачу персональных данных.
6.12. Используемые в Компании базы данных информации, содержащей персональные данные граждан Российской Федерации, располагаются на территории Российской Федерации.
6.13. В Компании не принимаются решения, порождающие юридические последствия в отношении Субъекта или иным образом затрагивающие его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.
6.14. Обработка персональных данных в Компании осуществляется не дольше, чем этого требуют цели обработки персональных данных.
7. Хранение персональных данных
7.1.В Компании организуется хранение персональных данных в течение времени, установленного требованиями законодательства, а также в отдельных случаях в течение времени, установленного договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект персональных данных.
7.2.При достижении целей обработки персональных данных, в случае утраты необходимости в достижении этих целей, по окончанию сроков хранения персональных данных, обрабатываемые персональных данных уничтожаются.
7.3.Хранение Персональных данных осуществляется в форме, позволяющей определить Субъекта Персональных данных не дольше, чем этого требуют цели Обработки Персональных данных, кроме случаев, когда срок хранения Персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект Персональных данных
7.4.Главным условием хранения бумажных носителей персональных данных является невозможность получения доступа к таким документам со стороны лиц, которым такой доступ не предоставлен.
7.5.Запрещается совместное хранение носителей персональных данных с другими документами, не содержащими персональные данные, кроме случаев, когда носители персональных данных являются приложениями к другим документам или наоборот.
7.6.Во время работы на столе должны находиться только те носители, непосредственно с которыми ведется работа.
7.7.Носители персональных данных должны быть убраны в шкаф или ящик, запираемые на ключ, в следующих случаях:
- когда с носителем персональных данных не ведется работа;
- когда работник покидает рабочее место;
- по окончании рабочего дня.
7.8.Ответственность за соблюдение норм, описанных в данном разделе, возлагается на всех работников, допущенных к обработке персональных данных, а контроль их выполнения возлагается на Ответственного за обработку персональных данных.
7.9.Работники Компании, имеющие доступ к персональным данным Субъектов в связи с исполнением трудовых обязанностей, обязаны обеспечивать хранение информации, содержащей персональные данные Субъектов, исключающее неправомерный или случайный доступ к ним.
7.10. В случае необходимости работник обязан передать документы и иные носители, содержащие персональные данные Субъектов, работнику, на которого организационно-распорядительным актом (приказом, распоряжением) или должностной инструкцией возложено исполнение его трудовых обязанностей.
7.11. В случае увольнении работника, имеющего доступ к персональным данным Субъектов, документы и иные носители, содержащие персональные данные Субъектов, передаются другому работнику, имеющему доступ к персональным данным Субъектов, по указанию непосредственного руководителя.
7.12. Компания блокирует обрабатываемые персональные данные при выявлении их недостоверности или неправомерных действий в отношении Субъекта по требованию Субъекта, его законного представителя или Роскомнадзора или в результате проведения внутренних контрольных мероприятий.
8. Уничтожение персональных данных
8.1.Персональные данные, цель обработки которых достигнута, подлежат уничтожению, если более длительный срок их хранения не предусмотрен действующим законодательством Российской Федерации.
8.2.При уничтожении персональных данных необходимо уничтожить соответствующие носители таким образом, чтобы восстановление содержания персональных данных стало невозможным. Уничтожение бумажных носителей персональных данных производится с помощью специальных бумагорезательных технических средств (шредеров).
8.3.При утилизации компьютера или носителя информации, на котором записаны персональные данные, должно использоваться специальное программное обеспечение, предназначенное для полного разрушения персональных данных, или же данный носитель информации должен быть физически уничтожен до его утилизации.
8.4.Порядок уничтожения персональных данных и ответственное лицо за уничтожение персональных данных в Компании устанавливаются локальным актом Компании.
9. Права и обязанности субъектов персональных данных
9.1.Субъекты принимают решение о предоставлении своих персональных данных Компании и в случаях, установленных Законом о персональных данных, дают согласия на их обработку своей волей и в своих интересах.
9.2.Субъект, персональные данные которого обрабатываются Компанией, имеет право на доступ к своим персональным данным.
9.3.Субъектам персональных данных, если иное не предусмотрено законодательством Российской Федерации, предоставлено право на получение следующей информации о собственных персональных данных по письменному запросу:
(I) подтверждение факта обработки персональных данных Компанией;
(II) правовые основания и цели обработки персональных данных;
(III) цели и применяемые Компанией способы обработки персональных данных;
(IV) наименование и местонахождение Компании, информация о лицах (кроме работников Компании), которые имеют доступ к персональным данным или которым персональные данные могут быть раскрыты на основании договора с Компанией или на основании федерального закона;
(V) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник этих данных, если иной порядок представления таких данных не предусмотрен действующим законодательством;
(VI) срок обработки персональных данных, включая срок хранения данных
(VII) порядок осуществления субъектом персональных данных своих прав, предусмотренных Законом о персональных данных;
(VIII) информация о совершенной или предполагаемой трансграничной передаче персональных данных;
(IX) наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по просьбе Компании, если такому лицу была или будет поручена такая обработка данных;
(X) информацию о способах исполнения Оператором обязанностей, установленных статьей 18.1 Закона о персональных данных;
(XI) другая информация, предусмотренная Законом о персональных данных или другими федеральными законами.
9.4.Сведения, указанные в п. 9.3. настоящей Политики, предоставляются Субъекту или его представителю Компанией при обращении либо при получении письменного запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Компанией либо сведения, иным образом подтверждающие факт обработки персональных данных Компанией, подпись субъекта персональных данных или его представителя.
9.5.Компания обязана направить свой ответ на запрос в течение 10 рабочих дней со дня получения оформленного в соответствии с п. 9.4. письменного запроса от Субъекта или его полномочного законного представителя. Ответ на запрос должен быть предоставлен Субъекту в доступной форме, и в нем не должны содержаться персональные данные, относящиеся к другим Субъектам.
9.6.Если Субъект считает, что Компания осуществляет обработку его персональных данных с нарушением требований законодательства Российской Федерации или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
9.7.Субъект персональных данных, являющийся работником Компании, в частности, имеет право:
(I) пользоваться свободным доступом к своим персональным данным; при этом субъект персональных данных имеет право на получение копии любого документа, содержащего его персональные данные, если иное не предусмотрено законодательством;
(II) выбирать представителей для защиты своих персональных данных;
(III) требовать от Компании исправления или дополнения ошибочных, недостоверных, устаревших или неполных персональных данных.
9.8.Субъект персональных данных, являющийся работником Компании, в частности, обязан:
(I) передавать Компании или своему представителю точные и документально подтвержденные персональные данные в установленном российским законодательством порядке;
(II) своевременно и в разумные сроки информировать Компанию об изменениях своих персональных данных.
9.9.Компания обязана вести учет обращений субъектов персональных данных об осуществлении их законных прав.
10. Меры по обеспечению безопасности персональных данных при их обработке
10.1. При обработке персональных данных Компания принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
10.2. Обеспечение безопасности персональных данных достигается Компанией самостоятельно, в частности, это может осуществляться применением следующих мер:
(I) назначение Компанией Ответственного за обработку персональных данных.
(II) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям законодательства Российской Федерации;
(III) осуществление обработки персональных данных без использования средств автоматизации таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
(IV) раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
(V) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных (при наличии информационных систем);
(VI) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации;
(VII) ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Компании в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
(VIII) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (при наличии таких информационных систем), необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
(IX) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных (при наличии таких информационных систем);
(X) учет средств защиты информации, включая машинные носители персональных данных;
(XI) обнаружение фактов несанкционированного доступа к персональным данным и принятие необходимых мер:
(XII) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
(XIII) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных (при наличии таких информационных систем);
(XIV) проведение инструктажа по информационной безопасности;
(XV) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных (при наличии таких информационных систем).
10.3. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии их хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
10.4. Работники Компании, допущенные к обработке персональных данных, обязаны:
- знать и неукоснительно выполнять положения законодательства Российской Федерации в области персональных данных, настоящей Политики, локальных актов по вопросам обработки персональных данных;
- обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;
- не разглашать персональные данные, обрабатываемые в Компании;
- сообщать о действиях других лиц, которые могут привести к нарушению положений настоящей Политики;
- сообщать об известных фактах нарушения требований настоящей Политики лицу, ответственному за организацию обработки персональных данных в Компании.
11. Ответственность
11.1. Контроль, за соблюдением настоящей Политики осуществляет Ответственный за обработку персональных данных.
11.2. Работники несут ответственность за соблюдение требование Политики в соответствии с законодательством Российской Федерации.
12. Заключительные положения
12.1. Настоящий документ подлежит пересмотру в случае внесения изменений в законодательство Российской Федерации в сфере персональных данных, если положения настоящей Политики вступают в противоречие с законодательством Российской Федерации. Положения Политики, противоречащие законодательству Российской Федерации, в таком случае не подлежат применению.