Политика обработки персональных данных

Политика в отношении обработки персональных данных в Обществе с ограниченной ответственностью «Отели Красноярска»

1. Общие положения

1.1. Политика в отношении обработки персональных данных (далее - Политика) Общества с ограниченной ответственностью «Отели Красноярска» (далее – Оператор) разработана во исполнение требований Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика является основополагающим документом, определяющим политику Оператора в отношении обработки персональных данных, и определяет общие принципы, цели, порядок обработки персональных данных и меры по обеспечению их безопасности и действует в отношении всех персональных данных, которые обрабатывает Оператор.

1.3. Положения Политики являются основой для разработки и актуализации локальных нормативных актов, распорядительных и организационно-правовых документов (далее – нормативных документов) Оператора, регламентирующих процессы обработки персональных данных различных категорий субъектов персональных данных, а также порядок реализации мер для защиты обрабатываемых персональных данных.

1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика является общедоступной и публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.

2. Область применения

2.1.Действие Политики распространяется на все структурные подразделения Оператора.

2.2.Положения Политики являются обязательными для исполнения всеми работниками Оператора, имеющими доступ к персональным данным.

2.3.Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
В Политике использованы ссылки на следующие нормативные документы (таблица №1).

3. Нормативные ссылки

Обозначение
Наименование
152-ФЗ
Политика в отношении файлов cookie
Положение о порядке обработки и обеспечения
безопасности персональных данных
Федеральный закон от 27.07.2006 N 152-ФЗ«О персональных данных»
Политика в отношении файлов cookie
Положение «Порядок обработки и обеспечения безопасности персональных данных»
В Политике используются следующие термины и определения (таблица №2).

4. Термины и определения, обозначения и сокращения

Термин
Определение
Автоматизированная обработка персональных данных
Обработка персональных данных с помощью средств вычислительной техники (статья 3 152-ФЗ)
Таблица № 1 – Нормативные ссылки
Таблица № 2 – Термины и определения
База персональных данных
Упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных)
Биометрические персональные данные
Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются для установления личности субъекта персональных данных (статья 11 152-ФЗ)
Блокирование персональных данных
Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) (статья 3 152-ФЗ)
Дата-центр
Специализированная организация, предоставляющая услуги по размещению серверного и сетевого оборудования, сдаче серверов (в том числе виртуальных) в аренду, а также по подключению к сети Интернет
Доступ к персональным данным
Ознакомление определенных лиц (в том числе работников) с персональными данными субъектов персональных данных, обрабатываемыми оператором, при условии сохранения конфиденциальности этих сведений
Информационная система персональных данных
Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств (статья 3 152-ФЗ)
Инцидент в области ПДн
Любой факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекший нарушение прав субъектов ПДн
Компьютерный инцидент
Факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры (КИИ), сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки
Контрагент
Сторона договора с Оператором, не являющаяся работником Оператора
Конфиденциальность персональных данных
Обязанность лиц, получивших доступ к персональным данным, не раскрывать их третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством
Обработка персональных данных без помощи средств вычислительной техники
Неавтоматизированная обработка персональных данных
Обезличивание персональных данных
Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных (статья 3 152-ФЗ)
Обработка персональных данных
Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (статья 3 152-ФЗ)
Оператор
Юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В настоящем документе под Оператором понимается Общество с ограниченной ответственностью «Отели Красноярска», если иное не указано специально
Персональные данные, ПДн
Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (статья 3 152-ФЗ)
Персональные данные, разрешенные для распространения
Персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном федеральным законом (статья 3 152-ФЗ)
Предоставление персональных данных
Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц
Работник
Физическое лицо, вступившее в трудовые отношения с Оператором
Распространение персональных данных
Действия, направленные на раскрытие персональных данных неопределенному кругу лиц
(статья 3 152-ФЗ)
Специальные категории персональных данных
Сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни
Субъект персональных данных
Определенное или определяемое физическое лицо, к которому относятся персональные данные
Трансграничная передача персональных данных
Передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (статья 3 152-ФЗ)
Уничтожение персональных данных
Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (статья 3 152-ФЗ)
Файл cookie
Файл, создаваемый сайтом и хранящийся локально в интернет-браузере или файловой системе компьютера или мобильного устройства

5. Правовые основания обработки персональных данных

5.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете»;
- Федеральный закон от 01.04.1996 N 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Федеральный закон от 15.12.2001 N 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
- Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
- Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
- Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказ Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»;
- иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.

5.2. Правовым основанием обработки персональных данных также являются:
- договоры, заключаемые между Оператором и субъектами персональных данных;
- согласие субъектов персональных данных на обработку их персональных данных.

6. Категории субъектов персональных данных, цели обработки и состав персональных данных

6.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

6.2. Обработке подлежат только ПДн, которые отвечают целям их обработки.

6.3. Оператор осуществляет обработку персональных данных Субъектов в целях, общее определение которых приведено в таблице 3. При этом конкретные цели обработки прямо устанавливаются в согласии на обработку персональных данных, которое дает Субъект (за исключением случаев, когда обработка персональных данных может осуществляться без получения такого согласия).
Категории субъектов персональных данных
Граждане
Физические лица, обратившиеся к Оператору лично, а также направившие индивидуальные или коллективные письменные обращения или обращения в форме электронного документа
Обеспечение своевременного и в полном объеме рассмотрения устных и письменных обращений граждан по вопросам, относящимся к компетенции Оператора, в случаях и порядке, предусмотренным законодательством и локальными нормативными актами Оператора
Перечень обрабатываемых ПДн определяется в соответствии с законодательством Российской Федерации о персональных данных и конкретизируется в Положении о порядке обработки и обеспечения безопасности персональных данных.
Определение категорий субъектов ПД
Цели обработки ПД
Перечень обрабатываемых персональных данных
Контрагенты
Физические лица, с которыми у Оператора существуют договорные отношения, за исключением трудовых, с которыми Оператор намерен вступить в договорные отношения или которые намерены вступить в договорные отношения с Оператором, включая бывших контрагентов, с которыми договоры завершены/ прекращены
Выполнение норм Гражданского законодательства РФ, регулирующих договорную работу.

Подготовка, заключение и исполнение договоров с контрагентами Оператора, в том числе договоров гражданско-правового характера.
Перечень обрабатываемых ПДн определяется в соответствии с законодательством Российской Федерации о персональных данных и конкретизируется в Положении о порядке обработки и обеспечения безопасности персональных данных
Представители контрагентов

Работники
контрагентов
Представители или работники Контрагентов Оператора или юридических лиц, с которыми у Оператора существуют договорные отношения, с которыми Оператор намерен вступить в договорные отношения или которые намерены вступить в договорные отношения с Оператором, включая юридических лиц, с которыми договоры завершены/ прекращены
Выполнение норм Гражданского законодательства РФ, регулирующих договорную работу.
Подготовка, заключение и исполнение договоров с контрагентами Оператора, в том числе договоров гражданско-правового характера.
Перечень обрабатываемых ПДн определяется в соответствии с законодательством Российской Федерации о персональных данных и конкретизируется в Положении о порядке обработки и обеспечения безопасности персональных данных
Получатели стипендий
Студенты, которым Оператор выплачивает именные стипендии.
Назначение и выплата Оператором именных стипендий студентам.
Перечень обрабатываемых ПДн определяется в соответствии с законодательством Российской Федерации о персональных данных и конкретизируется в Положении о порядке обработки и обеспечения безопасности персональных данных.
Пользователи сайта
Авторизованные пользователи сайта (сайтов) Оператора в сети Интернет
Общие персональные данные:
- фамилия, имя, отчество;
- число, месяц, год рождения;
- телефонный номер (мобильный);
- файлы cookie.
Регистрация Пользователей на сайте в целях создания личного кабинета, продвижения товаров (работ, услуг), предоставления Пользователям сайта возможности:
- использования предоставляемых сайтом интернет-сервисов;
- связаться с Оператором посредством формы обратной связи на сайте;
- запросить расчет стоимости продуктов и услуг Оператора;
- предложить свои товары и услуги Оператору;
Посетители
Физические лица, посещающие охраняемые помещения/ территории Оператора, не имеющие права постоянного входа в такие помещения/ территории
Обеспечение пропускного режима на территорию и предоставление возможности парковки на территории Оператора.
Перечень обрабатываемых ПДн определяется в соответствии с законодательством Российской Федерации о персональных данных и конкретизируется в Положении о порядке обработки и обеспечения безопасности персональных данных
Посетители сайта
Незарегистрированные посетители сайта (сайтов) Оператора в сети Интернет
Информирование Посетителей сайта о деятельности Оператора, реализуемых Оператором продуктах, товарах и услугах; организованных Оператором торгах.
Общие персональные данные:
- файлы cookie.

Практиканты
Лица, проходящие у Оператора стажировку или практику, или выразившие желание их проходить
1) Обеспечение прохождения ознакомительной, производственной или преддипломной практики на основании договора с учебным заведением.

2) Получение услуг по поддержке информационных систем, созданию и ведению учетных записей пользователей баз данных.
Перечень обрабатываемых персональных данных определяется в соответствии с законодательством Российской Федерации о персональных данных и конкретизируется в Положении о порядке обработки и обеспечения безопасности персональных данных
Представители субъектов ПДн
Представители субъектов персональных данных, обращающихся к Оператору по поручению и от имени субъектов персональных данных
Проверка полномочий Представителей субъектов и выполнение Оператором действий по указанию Представителей субъектов персональных данных.
Перечень обрабатываемых ПДн определяется в соответствии с законодательством Российской Федерации о персональных данных и конкретизируется в Положении о порядке обработки и обеспечения безопасности персональных данных
Физические лица, вступившие в трудовые отношения с Оператором, включая лиц, с которыми трудовые отношения прекращены
1) Обеспечение соблюдения законодательства РФ (трудового, налогового, пенсионного, страхового, об обороне, о противодействии коррупции, об исполнительном производстве, о занятости населения), содействие работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности работников, контроля количества и качества выполняемой работы и обеспечение сохранности имущества при заключении/расторжении и во исполнение трудового договора, включая:
- ведение кадрового и бухгалтерского учета;
- осуществление и защита прав и законных интересов Оператора.

2) Поддержка информационных систем, создание и ведение учетных записей пользователей, внедрение программных продуктов и баз данных, предназначенных для автоматизации.

3) Предоставление компенсаций, льгот и гарантий в соответствии с нормативными актами Оператора.

4) Обеспечение пропускного режима на территорию Оператора.

5) Информирование путем рассылки на номер мобильного телефона (рабочего и/или личного) коротких текстовых сообщений (смс), связанных с исполнением трудового договора, локальных нормативных и распорядительных актов Оператора, а также в связи с неблагополучной эпидемиологической обстановкой и иными экстренными обстоятельствами.

Перечень обрабатываемых ПДн определяется в соответствии с законодательством Российской Федерации о персональных данных и конкретизируется в Положении о порядке обработки и обеспечения безопасности персональных данных
Работники (бывшие работники)
Обеспечение соблюдения законодательства РФ о занятости населения, рассмотрение резюме и подбор кандидатов (соискателей) на вакантные должности для дальнейшего трудоустройства у Оператора, а также согласование кандидатур в соответствии с локальными нормативными актами Оператора, в том числе с целью проведения проверки на предмет наличия конфликта интересов и обеспечения соблюдения иных мер по противодействию коррупции.
Соискатели
Соискатели вакантных должностей (кандидаты для приема на работу) к Оператору или другому юрлицу по поручению Оператора, обратившиеся лично или через специализированные организации по подбору персонала (кадровые агентства), в том числе через специализированные сайты в сети Интернет
Общие персональные данные:
- фамилия, имя, отчество;
- число, месяц, год рождения;
- пол;
- информация о гражданстве;
- адрес фактического местожительства;
- контактные данные, в том числе адрес электронной почты, телефонный номер (домашний, рабочий, мобильный);
- уникальный номер индивидуального лицевого счёта застрахованного лица в системе обязательного пенсионного страхования (СНИЛС);
- сведения об образовании, о повышении квалификации и профессиональной переподготовке (включая серию, номер, дату выдачи документа об образовании, о повышении квалификации или о переподготовке, наименование образовательного учреждения, год завершения обучения, квалификация, специальность или направление);
- сведения об ученой степени, ученом звании, даты их присвоения;
- информация о владении иностранными языками, степень владения;
- сведения о предыдущей трудовой деятельности;
- сведения о наградах, поощрениях, почетных званиях;
- стаж работы.
Биометрические персональные данные:
- фотографическое изображение с участием субъекта персональных данных.
Специальные категории персональных данных:
- сведения о наличии инвалидности (включая сведения, содержащиеся в подтверждающих документах, ИПРА) (при подборе на квотируемые места)

Члены семей работников
1) Обеспечение соблюдения законодательства РФ (трудового, налогового, пенсионного, страхового, об обороне, о противодействии коррупции, об исполнительном производстве), включая ведение кадрового и бухгалтерского учета

2) Предоставление компенсаций, льгот и гарантий в соответствии с нормативными актами Оператора.

Близкие родственники, супруги и лица, находящиеся на иждивении Работников
Перечень обрабатываемых ПДн определяется в соответствии с законодательством Российской Федерации о персональных данных и конкретизируется в Положении о порядке обработки и обеспечения безопасности персональных данных
Таблица № 3 – Цели обработки персональных данных, категории субъектов и перечень ПДн

7. Порядок и условия обработки персональных данных

7.1. Принципы обработки персональных данных
Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации и в соответствии со следующими принципами:

7.1.1. Законность и справедливая основа обработки персональных данных.
Оператор принимает все необходимые меры по выполнению требований законодательства, не обрабатывает персональные данные в случаях, когда это не допускается законодательством и не требуется для достижения определенных Оператором целей, не использует персональные данные во вред субъектам таких данных.

7.1.2. Ограничение обработки персональных данных достижением конкретных, заранее определённых и законных целей
Цели обработки персональных данных Оператора и соответствующие им категории субъектов ПДн представлены в разделе 6 настоящей Политики в Таблице № 3.
Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Оператор не собирает и не обрабатывает персональные данные, не требующиеся для достижения целей, указанных в разделе 6 настоящей Политики, не использует персональные данные субъектов в каких-либо целях, кроме указанных.

7.1.3. Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.

7.1.4. Обработка только тех персональных данных, которые отвечают заранее объявленным целям их обработки.

7.1.5. Соответствие содержания и объёма обрабатываемых персональных данных заявленным целям обработки.
Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

7.1.6. Обеспечение точности, достаточности и, в необходимых случаях, актуальности персональных данных по отношению к целям обработки персональных данных.
Оператор принимает все разумные меры по поддержке актуальности обрабатываемых ПДн, включая, но не ограничиваясь, реализацию права каждого субъекта получать для ознакомления свои ПДн и требовать от Оператора их уточнения, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных выше целей обработки.

7.1.7. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом

7.1.8. Уничтожение персональных данных по достижении заявленных целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений установленного законодательством порядка обработки персональных данных, отзыве согласия на обработку субъектом персональных данных, истечении срока действия согласия на обработку персональных данных, если иное не предусмотрено федеральным законом, а носители персональных данных не подлежат передаче на архивное хранение.

7.2. Условия обработки персональных данных

7.2.1. Обработка персональных данных Оператором допускается в следующих случаях:
- субъект персональных данных дал согласие на обработку его персональных данных для одной или нескольких целей;
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, а также для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
- обработка персональных данных осуществляется в связи с участием Оператора и Субъекта в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
- обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг;
- обработка персональных данных необходима для исполнения договора, стороной которого или выгодоприобретателем, или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Такими договорами, в частности, являются, трудовые договоры с Работниками, пользовательское соглашение (публичная оферта) на сайте в сети Интернет, договоры об оказании услуг с физическими лицами;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Закона о персональных данных, при условии обязательного обезличивания персональных данных;
- персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с законодательством;
- иные случаи, установленные законодательством.

7.2.2. Оператор без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Российской Федерации о персональных данных.

7.2.3. Оператор не обрабатывает персональные данные, относящиеся к специальным категориям и касающиеся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством Российской Федерации.

7.3. Перечень действий с персональными данными

7.3.1. Оператор осуществляет следующие действия с персональными данными:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передачу (распространение, предоставление, доступ, в том числе трансграничную передачу на территории иностранных государств);
- обезличивание;
- блокирование;
- удаление;
- уничтожение.

7.3.2. Оператор осуществляет обработку персональных данных для каждой цели их обработки следующими способами:
- неавтоматизированная обработка персональных данных;
автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.

7.3.3. Обработка персональных данных для каждой цели обработки, указанной в п.6.3. Политики, осуществляется путем:
- получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
- внесения персональных данных в журналы, реестры и информационные системы Оператора;
- использования иных способов обработки персональных данных.
В целях внутреннего информационного обеспечения Оператор может создавать внутренние справочные материалы, в которых с согласия Субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, номер телефона (служебный, личный), адрес электронной почты (служебный), фотографическое изображение (в соответствии со ст. 152.1 Гражданского кодекса Российской Федерации «Охрана изображения гражданина»), иные персональные данные, сообщаемые субъектом персональных данных.
Оператор вправе разместить свои информационные системы с обрабатываемыми персональными данными в дата-центре (облачной вычислительной инфраструктуре) с соблюдением требований действующего законодательства Российской Федерации.

7.3.4. На сайте Оператора используются собственные технические и маркетинговые файлы cookie, а также файлы cookie партнеров (третьих лиц - поставщиков услуг) для того, чтобы предоставлять субъектам ПДн определенные возможности для просмотра и использования страниц сайта. Некоторые из них позволяют проверять качество работы и улучшать рабочие характеристики сайта, чтобы сделать его более удобным.
Большинство интернет-браузеров настроены принимать файлы cookie автоматически. При этом Субъект может самостоятельно изменить настройки своего браузера – отключить или ограничить использование cookie, получать уведомления об их использовании.
Политика в отношении файлов cookie представлена на сайте Оператора.

7.4. Конфиденциальность персональных данных

7.4.1. Работники Оператора и иные лица, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

7.4.2. К обработке персональных данных допускаются работники Оператора, в должностные инструкции которых входит обработка персональных данных.

7.5. Поручение обработки персональных данных

7.5.1. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Такая обработка персональных данных осуществляется на основании договора, заключенного между Оператором и третьим лицом, требования к которому определены/установлены в Положении о порядке обработки и обеспечения безопасности персональных данных.

7.5.2. Оператор несет ответственность перед субъектом персональных данных за действия лиц, которым Оператор поручает обработку персональных данных субъекта персональных данных.

7.6. Передача персональных данных

7.6.1. В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных Оператор вправе передавать и распространять персональные данные субъектов третьим лицам только с надлежащим образом оформленного согласия Субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации о персональных данных.

7.6.2. Все третьи лица, которым осуществляется передача персональных данных субъектов ПДн, обязаны соблюдать принципы и правила обработки ПДн, предусмотренные действующим законодательством Российской Федерации.

7.6.3. Согласие на обработку персональных данных, разрешенных Субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

7.6.4. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.

7.7. Трансграничная передача данных

7.7.1. Оператор может осуществлять трансграничную передачу персональных данных на территории иностранных государств, которые являются сторонами Конвенции Совета Европы о защите физлиц при автоматизированной обработке персональных данных или включены в Перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных.

7.7.2. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться:
- при наличии надлежащим образом оформленного согласия Субъекта персональных данных (в том числе согласия в письменной форме, если это необходимо в соответствии с законодательством Российской Федерации) на трансграничную передачу его персональных данных;
- при наличии иных оснований, установленных законодательством;
- при условии соблюдения требований действующего законодательства Российской Федерации, в том числе относительно уведомления уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять трансграничную передачу персональных данных, и отсутствия ограничений и запретов на трансграничную передачу персональных данных.

7.7.3. Трансграничная передача персональных данных может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, защиты экономических и финансовых интересов Российской Федерации, обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан Российской Федерации, суверенитета, безопасности, территориальной целостности Российской Федерации и других ее интересов на международной арене.

7.8. Сроки обработки персональных данных

7.8.1. Обработка персональных данных должна быть прекращена при следующих условиях:
- достижение целей обработки персональных данных;
- истечение срока действия или отзыв согласия субъекта персональных данных на обработку его персональных данных;
- выявление неправомерной обработки персональных данных. Срок - в течение трех рабочих дней с даты выявления.

7.9. Хранение персональных данных

7.9.1. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

7.9.2. Оператор не хранит копии документов субъектов персональных данных. В целях соблюдения требований законодательства Российской Федерации Оператор может хранить копии документов субъектов ПДн, относящиеся к его трудовой деятельности, при условии получения от работника соответствующего согласия.

7.9.3. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.

8. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

8.1. Актуализация, исправление, удаление и уничтожение персональных данных

8.1.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат их актуализации, а обработка их прекращается.

8.1.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
- иное не предусмотрено иным соглашением между Оператором и субъектом персональных данных.

8.1.3. Способы уничтожения персональных данных устанавливаются в локальных нормативных актах Оператора.

8.2. Порядок реагирования на запросы обращения субъектов персональных данных, их представителей и уполномоченных органов

8.2.1. Субъект персональных данных имеет право на получение информации на безвозмездной основе, касающейся обработки его персональных данных, путем обращения или подготовки запроса.

8.2.2. При обращении субъекта персональных данных или его представителя Оператор в течение 10 дней с даты обращения или получения запроса субъекта персональных данных или его представителя обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также безвозмездно предоставить возможность ознакомления с этими персональными данными.
Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных уполномоченным работником Оператора в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

8.2.3. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

9. Основные права и обязанности оператора и субъекта(ов) персональных данных

9.1. Основные права и обязанности Оператора.

9.1.1. Оператор имеет право:
1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
2) поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных, выполнять иные обязанности и требования, установленные законодательством в области персональных данных;
3) в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.

9.1.2. Оператор обязан:
1) организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
2) отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
3) сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса;
4) в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ России), обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.

9.2. Основные права субъекта персональных данных.

9.2.1. Субъект персональных данных принимает решение о предоставлении своих персональных данных Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе.

9.2.2. Субъект персональных данных имеет право:
1) получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
2) требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
3) дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг;
4) обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;
5) на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

10. Сведения о реализуемых требованиях к защите персональных данных

10.1. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований законодательства о персональных данных.

10.2. Правовые меры, принимаемые Оператором, включают:
1) разработку локальных актов, реализующих требования законодательства;
2) отказ от любых способов обработки персональных данных, не соответствующих определенным в Политике целям и требованиям законодательства

10.3. Организационные меры, принимаемые Оператором, включают:
1) назначение лица, ответственного за организацию обработки персональных данных;
2) назначение лица, ответственного за обеспечение безопасности персональных данных в ИСПДн 2 и 3 уровня защищённости;
3) определение лиц, ответственных за выявление инцидентов в области ПДн и реагирование на них для ИСПДн 1 и 2 уровня защищённости;
4) создание структурного подразделения, ответственного за обеспечение безопасности ПДн в ИСПДн, либо возложение на одно из структурных подразделений функций по обеспечению безопасности для ИСПДн 1 уровня защищённости;
5) ограничение состава работников Оператора, имеющих доступ к персональным данным, и организацию разрешительной системы доступа к ним;
6) ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями к защите персональных данных, с Положениями и другими локальными актами Оператора по вопросам обработки персональных данных;
7) обучение всех категорий работников Оператора, непосредственно осуществляющих обработку персональных данных, правилам работы с ними и обеспечения безопасности обрабатываемых данных;
8) определение в должностных инструкциях работников Оператора обязанностей по обеспечению безопасности обработки персональных данных и ответственности за нарушение установленного порядка;
9) допуск работников к обработке персональных данных после подписания обязательства о неразглашении персональных данных. Типовая форма обязательства приведена в Приложении А к Положению о конфиденциальной информации;
10) мониторинг изменений законодательства, нормативно-правовых и иных актов в сфере обработки и защиты персональных данных, в том числе рекомендаций уполномоченного органа по защите прав субъектов ПДн, контролирующего деятельность по обеспечению безопасности персональных данных, ознакомление со значимыми изменениями и указанными рекомендациями всех работников Оператора , непосредственно осуществляющих обработку персональных данных, и приведение в соответствие с ними внутренних нормативных документов;
11) регламентацию процессов обработки персональных данных;
12) назначение и разграничение прав доступа пользователей в ИСПДн;
13) раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
14) хранение персональных данных в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки персональных данных, если конкретный срок хранения персональных данных не установлен законодательством РФ, договором, стороной которого является субъект ПДн или согласием на обработку персональных данных;
15) организацию передачи документов, содержащих персональные данные, на архивное хранение. При этом сроки хранения документов в архивах определяются в соответствии со сроками, установленными законодательством РФ и локальными нормативными актами оператора;
16) организацию учёта материальных носителей персональных данных и их хранения, обеспечивающих предотвращение хищения, подмены, несанкционированного копирования и уничтожения;
17) определение типа угроз безопасности персональных данных, актуальных для ИСПДн, с учетом оценки возможного вреда субъектам ПДн, который может быть причинен в случае нарушения требований безопасности, определение уровня защищенности персональных данных и требований к защите персональных данных при их обработке в ИСПДн, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
18) определение угроз безопасности персональных данных при их обработке в ИСПДн, формирование на их основе частной модели (моделей) актуальных угроз;
19) контроль и управление физическим доступом к техническим средствам обработки персональных данных, а также в помещения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации и в помещения, в которых они установлены;
20) размещение технических средств обработки персональных данных в пределах охраняемой территории;
21) ограничение допуска посторонних лиц в помещения Оператора, недопущение их нахождения в помещениях, где ведется работа с персональными данными и размещаются технические средства их обработки, без контроля со стороны работников Оператора.

10.4. Технические меры, принимаемые Оператором, включают:
1) разработку на основе частной модели актуальных угроз системы защиты персональных данных для установленных Правительством Российской Федерации уровней защищенности персональных данных при их обработке в ИСПДн;
2) использование для нейтрализации актуальных угроз средств защиты информации, прошедших процедуру оценки соответствия в форме испытаний или приёмки;
3) реализацию разрешительной системы доступа работников к персональным данным, обрабатываемым в ИСПДн, и к программно-аппаратным и программным средствам защиты информации;
4) регистрацию и учёт действий c персональными данными пользователей ИСПДн, где обрабатываются персональные данные;
5) ограничение программной среды;
6) выявление вредоносного программного обеспечения (применение антивирусных программ) на всех узлах информационной сети Оператора, обеспечивающих соответствующую техническую возможность;
7) безопасное межсетевое взаимодействие (применение межсетевого экранирования);
8) идентификацию и проверку подлинности пользователя при входе в ИСПДн по паролю;
9) контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации;
10) обнаружение вторжений в информационную систему Оператора, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
11) защиту среды виртуализации;
12) защиту сетевых устройств и каналов связи, по которым осуществляется передача персональных данных;
13) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (создание системы резервного копирования и восстановления персональных данных);
14) оценку эффективности принимаемых мер по обеспечению безопасности персональных данных (самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации) не реже 1 раза в 3 года.
10.5. При размещении информационной системы в дата-центре (облачной инфраструктуре) меры безопасности могут быть обеспечены дата-центром (провайдером облачных услуг), что отражается в договоре между Оператором и дата-центром (провайдером облачных услуг).

11. Заключительные положения

Политика пересматривается по мере необходимости. Обязательный пересмотр Политики проводится в случае существенных изменений международного или законодательства Российской Федерации в сфере персональных данных.
При внесении изменений в Политику учитываются:
- изменения в информационной инфраструктуре и (или) в используемых Оператором информационных технологиях;
- сложившаяся в Российской Федерации практика право применения законодательства в области персональных данных;
- изменение условий и особенностей обработки персональных данных Оператором в связи с внедрением в его деятельность новых информационных систем, процессов и технологий.