Перейти к основному содержанию

Политика
конфиденциаль-
ности

Настоящая Политика обработки персональных данных (далее — «Политика») определяет политику в отношении обработки персональных данных и содержит сведения о реализуемых требованиях к защите персональных данных в ООО «ПИК-Коммерческая недвижимость».

1. Термины и определения

Субъект персональных данных – физическое лицо, в отношении которого Оператор обрабатывает или намеривается обрабатывать персональные данные.

Оператор - ООО «ПИК-Коммерческая недвижимость», зарегистрированное по адресу 123242, Россия, г. Москва, вн.тер.г. Муниципальный округ Пресненский, Баррикадная ул., д. 19, стр. 1, Помещ. II, часть ком. 10, ОГРН: 1227700702888.

Кандидат – лицо, претендующее на замещение вакантной должности Оператора, которое ожидает принятия решения Оператора о заключении трудового договора либо отказа в заключении такого договора.

Отобранный кандидат – лицо, претендующее на замещение вакантной должности Оператора, в отношении которого Оператором принято решение о заключении трудового договора.

Контрагент - юридическое лицо, индивидуальный предприниматель, самозанятый, физическое лицо с которым заключен возмездный договор гражданско-правового характера.

Клиент – Контрагент, которому Оператор оказывает услуги в связи с осуществлением предпринимательской деятельности.

ТК РФ – сокращенное наименование Трудового кодекса Российской Федерации.

Федеральный закон № 152-ФЗ – сокращённое наименование Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Внутренний контроль – деятельность за соблюдением Оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных.

Если не оговорено иное, в тексте Политики используются термины и определения, установленные Федеральным законом № 152-ФЗ.

2. Общие положения

  1. Политика регулирует вопросы обработки персональных данных при осуществлении Оператором хозяйственной деятельности, в том числе при оказании услуг.
  2. Политика разработана в соответствии с требованиями:

    • Конституции Российской Федерации;
    • Конвенции о защите физических лиц в отношении автоматизированной обработки данных личного характера (ETS N 108, заключена в г. Страсбурге 28.01.1981);
    • Трудового кодекса Российской Федерации;
    • Гражданского кодекса Российской Федерации;
    • Федерального закона №152-ФЗ;
    • Постановления Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
    • Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
    • устава ООО «ПИК-Коммерческая недвижимость»;
    • другими нормативными документами в области организации обработки и защиты персональных данных.
  3. Настоящая Политика распространяется на вопросы обращения с персональными данными, полученными как до, так и после ввода в действие настоящей Политики.
  4. Настоящая Политика при наличии действующего Интернет-сайта Оператора публикуется в сети Интернет на таком сайте лицом, курирующим сайт.

3. Виды обработки персональных данных

  1. Оператор осуществляет обработку персональных данных с использованием средств автоматизации и без таковой.
  2. Оператор осуществляет следующую обработку персональных данных: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, блокирование, удаление, уничтожение, а также обработку по поручению.
  3. Конкретные способы и виды обработки персональных данных определяются локальными нормативными актами Оператора, договорами с Контрагентами, а также другими документами, если это не противоречит действующим нормативным правовым актам.

4. Взаимоотношения с контрагентами

  1. В случае, если осуществляется передача персональных данных (без поручения на обработку) от Контрагента к Оператору или от Оператора к Контрагенту, в договоре с Контрагентом предусматриваются условия связанные с:

    • требованиями к конфиденциальности передаваемых персональных данных;
    • другими условиями, если они вытекают из локальных нормативных актов Оператора и применимого законодательства.
  2. Обработка персональных данных представителя Контрагента допускается, если это вытекает из существа договора с Контрагентом и необходимо в целях заключения и исполнения конкретных условий договора с Контрагентом.
  3. В отсутствие договора с Контрагентом допускается обработка персональных данных представителя Контрагента, полученных на основании явно выраженного согласия такого представителя (электронная почта, визитки и т.п.) в соответствии с целью предоставления таких персональных данных.
  4. При наличии между Оператором и Контрагентом взаимоотношений, основанных на поручении обработки персональных данных, договор дополняется условиями поручения на обработку персональных данных, которое должно соответствовать требованиям законодательства.
  5. Элементы договоров с Контрагентами, касающиеся вопросов обработки персональных данных, должны согласовываться с ответственным за обработку персональных данных либо с лицом, которому эта функция передана ответственным за обработку персональных данных. При наличии Регламента согласования договоров, данное требование учитывается в таком регламенте.
  6. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Работники Оператора в процессе осуществления трудовой деятельности не могут использовать информационные системы персональных данных, нарушающие такое требование.

5. Принципы обработки персональных

  1. Оператор обязан придерживаться следующих принципов при обработке персональных данных:

    1. обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
    2. не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
    3. обработке подлежат только персональные данные, которые отвечают целям их обработки;
    4. содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
    5. при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры (либо обеспечивать их принятие) по удалению или уточнению неполных или неточных данных;
    6. хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
    7. срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

6. Категории субъектов персональных данных

  1. Оператор осуществляет обработку персональных данных следующих категорий субъектов персональных данных:

    • Работники;
    • Уволенные работники;
    • Кандидаты;
    • Отобранные кандидаты;
    • Родственники работников;
    • Посетители помещений;
    • Контрагенты, являющиеся физическими лицами;
    • Представители Контрагентов;
    • Пользователи сайта;
    • Адресаты маркетинговой рассылки;
    • иные по поручению Клиентов.

7. Цели и основания обработки персональных данных

  1. Персональные данные Работников, Родственников работников, Уволенных работников обрабатываются в соответствии с подпунктами 1, 2, 3.1, 5, 7 пункта 1 статьи 6 Федерального закона № 152-ФЗ в целях: исполнения положений ТК РФ, иных нормативных правовых актов, регулирующих трудовые отношения и иные непосредственно связанные с ними отношения, а также исполнения положений трудового договора, продвижения и развития корпоративной культуры, исполнения запросов уполномоченных государственных и муниципальных органов, в том числе органов оперативно-розыскной деятельности.

    Сроки обработки и хранения должны соответствовать требованиям действующего законодательства.

  2. Персональные данные Работников обрабатываются в соответствии с подпунктами 1, 2, 5, 7 пункта 1 статьи 6 Федерального закона № 152-ФЗ в целях: обеспечения коммерческой деятельности Оператора, обеспечения соблюдения пропускного режима в помещениях Оператора, заключения договоров на предоставление услуг добровольного медицинского страхования, организации перевозок работников с использованием услуг такси.

    Срок обработки: в течение срока действия трудового договора.

    Срок хранения: 3 года, в случае если иные требования не установлены действующим законодательством.

  3. Персональные данные Кандидатов и Отобранных кандидатов обрабатываются в соответствии с подпунктами 1, 2 пункта 1 статьи 6 Федерального закона № 152-ФЗ с целью подбора персонала.

    Срок обработки: в течение срока действия вакансии или направления отказа кандидату.

    Сроки хранения соответствуют требованиям действующего законодательства либо 6 месяцев, в случае если такие требования не установлены законодательством.

  4. Персональные данные Посетителей помещений обрабатываются в соответствии с подпунктами 1, 7 пункта 1 статьи 6 Федерального закона № 152-ФЗ с целью пропуска в помещения Оператора.

    Срок обработки: в течение срока действия пропуска.

    Срок хранения: 3 года, если иное не предусмотрено действующим законодательством.

  5. Персональные данные Представителей Контрагентов и Контрагентов, являющихся физическими лицами, обрабатываются в соответствии с подпунктами 1, 5, 7 пункта 1 статьи 6 Федерального закона № 152-ФЗ с целью заключения и исполнения договора с Контрагентом.

    Срок обработки: в течение действия договоров.

    Срок хранения: 3 года с момента прекращения / расторжения договора, если это не противоречит требованиям действующего законодательства.

  6. Персональные данные Пользователей сайта обрабатываются в соответствии с подпунктами 1, 2 пункта 1 статьи 6 Федерального закона № 152-ФЗ с целью предоставления информации об услугах, предоставляемых Оператором.

    Срок обработки: в течение срока действия согласия.

    Срок хранения: 1 месяц с момента окончания действия согласия, если это не противоречит требованиям действующего законодательства.

  7. Персональные данные Посетителей мероприятий и Адресатов маркетинговой рассылки обрабатываются в соответствии с подпунктом 1 пункта 1 статьи 6 Федерального закона № 152-ФЗ с целью информирования об услугах и деятельности Оператора.

    Срок обработки: в течение срока действия согласия.

    Срок хранения: 1 месяц с момента окончания действия согласия, если это не противоречит требованиям действующего законодательства.

  8. Персональные данные по поручению Клиентов обрабатываются по поручению оператора в соответствии с частью 3 статьи 6 Федерального закона № 152-ФЗ в целях исполнения договоров с Клиентами.

    Срок обработки и хранения определяется договором с Клиентами.

  9. Персональные данные могут быть использованы с иными целями, если это является обязательным в соответствии с положениями законодательства Российской Федерации.

8. Состав информации о субъектах персональных данных

  1. Оператор обрабатывает следующие категории персональных данных Работников:

    • фамилия, имя, отчество (при наличии), сведения о смене фамилии, имени, отчества (при наличии),
    • дата и место рождения,
    • пол,
    • возраст,
    • данные документа, удостоверяющего личность (тип документа, серия, номер, дата выдачи, срок действия (если применимо), наименование органа, выдавшего документ),
    • адрес регистрации по месту проживания, адрес фактического пребывания,
    • номера телефонов, адреса электронной почты,
    • сведения документа воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу),
    • сведения документа, подтверждающего постановку на учет в налоговом органе,
    • сведения документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС),
    • сведения документов об образовании и/или о квалификации или наличии специальных знаний,
    • сведения о трудовой деятельности (наименования работодателей, структурные подразделения, занимаемые должности, периоды работы, основания увольнения), общий стаж, страховой стаж, стаж работы в Операторе,
    • банковские реквизиты,
    • данные документов о состоянии здоровья (в случаях, предусмотренных трудовым законодательством) и временной нетрудоспособности,
    • состав семьи,
    • сведения о социальных льготах, на которые работник имеет право в соответствии с законодательством,
    • сведения договоров (полисов) добровольного медицинского страхования,
    • сведения документов, дающих иностранному гражданину/лицу без гражданства право осуществлять трудовую деятельность на территории Российской Федерации,
    • фотографии,
    • реквизиты и условия трудового договора и дополнительных соглашений к нему (наименование работодателя структурные подразделения, должности, дата приема, даты переводов, размер и тип оплаты труда, вид и характер работы, тип занятости, количество рабочих часов в неделю, индивидуальные условия), виды и размеры компенсационных и стимулирующих выплат, доход, сведения об отпусках и отсутствии на рабочем месте, сведения о командировках, сведения об оценке результатов труда и аттестации, сведения о служебных расследованиях в отношении работника,
    • сведения об учетных данных в информационных системах, данные, предусмотренные международными протоколами обмена данных через Интернет при использовании служебных информационных систем.
  2. Оператор обрабатывает следующие категории персональных данных Уволенных работников (на дату увольнения):

    • фамилия имя, отчество (при наличии), сведения о смене фамилии, имени, отчества (при наличии),
    • дата и место рождения,
    • пол,
    • возраст,
    • данные документа, удостоверяющего личность (тип документа, серия, номер, дата выдачи, срок действия (если применимо), наименование органа, выдавшего документ),
    • адрес регистрации по месту проживания, адрес фактического пребывания,
    • номера телефонов, адреса электронной почты,
    • сведения документа воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу),
    • сведения документа, подтверждающего постановку на учет в налоговом органе (ИНН),
    • сведения документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС),
    • сведения документов об образовании и/или о квалификации или наличии специальных знаний,
    • общий стаж, страховой стаж, стаж работы в Операторе,
    • банковские реквизиты,
    • данные документов о состоянии здоровья (в случаях, предусмотренных трудовым законодательством) и временной нетрудоспособности,
    • состав семьи,
    • сведения о социальных льготах, на которые работник имеет право в соответствии с законодательством,
    • сведения договоров (полисов) добровольного медицинского страхования,
    • сведения документов, дающих иностранному гражданину/лицу без гражданства право осуществлять трудовую деятельность на территории Российской Федерации,
    • реквизиты и условия трудового договора и дополнительных соглашений к нему (наименование работодателя, структурные подразделения, должности, дата приема на работу, даты переводов, размер и тип оплаты труда, вид и характер работы, тип занятости, количество рабочих часов в неделю, индивидуальные условия), дата и основание увольнения, сведения об отпусках и отсутствии на рабочем месте, сведения о командировках, сведения об оценке результатов труда и аттестации, сведения о служебных расследованиях в отношении работника, сведения об учетных данных в информационных системах.
  3. Оператор обрабатывает следующие категории персональных данных Родственников работников:

    • фамилия, имя, отчество (при наличии),
    • степень родства,
    • год рождения, возраст.
  4. Оператор обрабатывает следующие категории персональных данных Отобранных кандидатов:

    • фамилия, имя, отчество (при наличии),
    • дата и место рождения,
    • данные документа, удостоверяющего личность (тип документа, серия, номер, дата выдачи, срок действия (если применимо),
    • адрес регистрации по месту проживания, адрес фактического пребывания,
    • номера телефонов, адреса электронной почты,
    • сведения документа воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу),
    • сведения документа, подтверждающего постановку на учет в налоговом органе (ИНН),
    • сведения документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС),
    • сведения документов об образовании и/или о квалификации или наличии специальных знаний,
    • сведения о трудовой деятельности (наименования работодателей, структурные подразделения, занимаемые должности, периоды работы, основания увольнения), общий стаж, страховой стаж, банковские реквизиты,
    • данные документов о состоянии здоровья (в случаях, предусмотренных трудовым законодательством),
    • состав семьи,
    • сведения о социальных льготах, на которые работник имеет право в соответствии с законодательством,
    • сведения договоров (полисов) добровольного медицинского страхования,
    • сведения документов, дающих иностранному гражданину/лицу без гражданства право осуществлять трудовую деятельность на территории Российской Федерации,
    • фотографии,
    • дополнительные сведения, которые Отобранный кандидат решил важным сообщить.
  5. Оператор обрабатывает следующие категории персональных данных Кандидатов:

    • фамилия, имя, отчество (при наличии),
    • дата и место рождения,
    • данные документа, удостоверяющего личность (тип документа, серия, номер, дата выдачи, срок действия (если применимо),
    • адрес регистрации по месту проживания, адрес фактического пребывания,
    • номера телефонов, адреса электронной почты,
    • сведения документов об образовании и/или о квалификации или наличии специальных знаний, сведения о фактических знаниях в требуемой сфере для замещения должности,
    • сведения о трудовой деятельности (наименования работодателей, структурные подразделения, занимаемые должности, периоды работы, основания увольнения), общий стаж,
    • сведения документов, дающих иностранному гражданину/лицу без гражданства право осуществлять трудовую деятельность на территории Российской Федерации,
    • фотографии,
    • дополнительные сведения, которые Кандидат решил важным сообщить.
  6. Оператор обрабатывает следующие категории персональных данных Посетителей помещений:

    • фамилия, имя, отчество (при наличии),
    • идентификатор карты доступа,
    • дата, время и место запроса на посещение,
    • сведения о предоставлении доступа в помещение,
    • дата и время пребывания на территории Оператора.
  7. Оператор обрабатывает следующие категории персональных данных Контрагентов, являющихся физическими лицами:

    • фамилия, имя, отчество (при наличии),
    • дата рождения,
    • данные документа, удостоверяющего личность (тип документа, серия, номер, дата выдачи, срок действия (если применимо),
    • адрес регистрации по месту проживания,
    • адрес доставки документов,
    • номера телефонов, адреса электронной почты,
    • сведения документа, подтверждающего постановку на учет в налоговом органе (ИНН),
    • сведения документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС),
    • банковские реквизиты,
    • сведения, предусмотренные договором с Контрагентом и являющиеся персональными данными.
  8. Оператор обрабатывает следующие категории персональных данных Представителей контрагентов:

    • фамилия, имя, отчество (при наличии),
    • должность,
    • сведения, предусмотренные договором с Контрагентом и которые относятся к персональным данным.
  9. Оператор обрабатывает следующие категории персональных данных Пользователей сайта:

    • имя, фамилия,
    • контактный номер телефона,
    • адрес электронной почты,
    • текстовое сообщение,
    • данные файлов Cookies (необходимые);
    • иные сведения, которые представлены пользователем сайта в информационно-телекоммуникационной сети «Интернет».
  10. Оператор обрабатывает следующие категории персональных данных Посетителей мероприятий:

    • фамилия, имя, отчество (при наличии),
    • данные об участии в системе видеоконференцсвязи.
  11. Оператор обрабатывает следующие категории персональных данных Адресатов маркетинговой рассылки:

    • адрес электронной почты,
    • фамилия, имя, отчество (при наличии),
    • индустрия, должность,
    • страна нахождения,
    • мобильный телефон,
    • сведения об интересах,
    • данные файлов Cookies (необходимые),
    • сведения об интернет-страницах, через которые произошла подписка на рассылки,
    • статистика по рассылке.
  12. Категории персональных данных, обрабатываемых по поручению Клиента, определяются оператором персональным данным – Клиентом.
  13. Для обеспечения хранения персональных данных на материальных носителях определяются оснащенные средствами защиты помещения. Хранение оконченных производством документов, содержащих персональные данные, осуществляется в архиве или в отдельном помещении (шкафу).
  14. Хранение материальных носителей персональных данных осуществляется раздельно для каждой категории субъектов персональных данных.

9. Уведомление о файлах Cookie

  1. Посещая или используя сайт Оператора, субъект персональных данных соглашается с тем, что Оператор использует определенные технологии мониторинга и отслеживания, такие как cookie, маяки, пиксели, теги, и скрипты (в совокупности «Cookies»). Эти технологии используются для обеспечения, поддержания и улучшения работы сайта Оператора, для оптимизации предложений и маркетинговой деятельности Оператора (например, для отслеживания предпочтений Пользователей сайта, выявления технических вопросов, а также мониторинга и улучшения общей эффективности и безопасности сайта Оператора).
  2. Cookies — это небольшие текстовые файлы, которые сохраняются через браузер на компьютере или мобильном устройстве Пользователя сайта. Они позволяют веб-сайтам хранить информацию, такую как пользовательские предпочтения. Cookies обычно классифицируются как "сессионные cookies ", которые автоматически удаляются при закрытии браузера или "постоянные cookies ", которые обычно остаются на Вашем устройстве до тех пор, пока Вы их не удалите или они не истекут.
  3. Виды Cookies и аналогичных технологий

    1. Технические/необходимые cookie-файлы необходимы для нормальной работы определенных областей сайта Оператора. Они также позволяют распределять нагрузку на серверы, собирать сведения о предпочтениях Пользователей сайта относительно использования файлов cookie и т. д. Cookie-файлы этой категории включают как файлы сеансов, так и постоянные файлы cookie. Без этих файлов сайт Оператора работают ненадлежащим образом или не работают.
    2. Аналитические cookie-файлы предназначены для сбора сведений о том, каким образом Посетители сайта используют сайт Оператора. Данные сведения используются для составления отчетов и улучшения сайта с целью сделать его более удобным для использования и следить за его работой. Такие данные состоят из подключений, технических и агрегированных данных об использовании, таких как IP-адреса и общее местоположение, данные об устройстве и приложении (например, тип, операционная система, идентификатор мобильного устройства или приложения, версия браузера, используемые языковые настройки и язык), дата и время отметки об использовании, соответствующие файлы cookie и пиксели, установленные на таком устройстве или с которыми осуществляется взаимодействие через него, а также зарегистрированная активность (сеансы, клики, использование функций, зарегистрированные действия, движение мыши и другие взаимодействия) Пользователей сайта. Эти файлы cookie собирают обезличенные сведения.

      Оператор может использовать аналитические инструменты и соответствующие cookie-файлы различных поставщиков услуг.

    3. Оператор может использовать аналитические инструменты и соответствующие cookie-файлы различных поставщиков услуг.
    4. Сторонние cookie-файлы используются для встраивания в сайт Оператора элементов сторонних разработчиков, например видео, форм обратной связи или кнопок социальных сетей, позволяющих обмениваться содержимым сайтов.
    5. Маркетинговые и рекламные cookie-файлы. Эти куки позволяют узнать, видел ли Пользователь сайта рекламу или тип рекламы в сети Интернет, как он взаимодействовал с такой рекламой, и как давно ее не видел. Оператор также использует Cookies для работы целевой рекламы. Оператор может использовать Cookies, установленные другой организацией, чтобы более точно адресовать рекламу Пользователям сайта Оператора. Оператор также устанавливает Cookies на другие сайты, на которых рекламируются услуги / продукты Оператора. Такие Cookies позволяют идентифицировать субъекта персональных данных как посетившего сайт, на котором размещаются объявления Оператора, и просмотревшего объявление Оператора там, если субъект персональных данных позже посетит сайт Оператора.
  4. Использование веб-маяков и аналитических служб.

    1. Некоторые веб-страницы сайта Оператора могут содержать электронные метки, называемые веб-маяками, которые используются для упрощения размещения сookie-файлов на веб-сайте, определения количества посетителей веб-сайта, а также для предоставления продуктов совместно с другими компаниями. Веб-маяки или аналогичные технологии также включаются в рассылаемые электронными средствами рекламные материалы или информационные бюллетени с целью определить, открывались ли эти сообщения и что с ними происходило впоследствии.
  5. Управление файлами cookie. Отказ от установки файлов cookie.

    1. Пользователь сайта может запретить установку некоторых или всех файлов cookie.
    2. В большинстве браузеров файлы сookie принимаются автоматически, но у Пользователя сайта есть возможность управлять параметрами браузера для блокирования или удаления файлов сookie. Дополнительные инструкции по удалению файлов cookie приведены настройках браузеров Пользователей сайта.
    3. Некоторые функции сайта Оператора зависят от использования файлов cookie. Если Пользователь сайта Оператора решит заблокировать файлы сookie, он не сможет использовать функции и настройки, зависящие от файлов сookie. При удалении cookie-файлов удаляются любые хранящиеся в этих файлах параметры и предпочтения, включая параметры, касающиеся рекламы; впоследствии потребуется создать их заново.

10. Использование информационных систем персональных данных (ИСПДн)

  1. Оператор может осуществлять обработку персональных данных в информационных системах персональных данных.
  2. Подходы к защите персональных данных должны соответствовать требованиям применимого законодательства.
  3. В случае передачи персональных данных на обработку по поручению Контрагенту, где предполагается использование информационной системы персональных данных, в заключаемом договоре предусматривается обязанность осуществлять защиту персональных данных в информационной системе персональных данных, исходя из применимого законодательства, рисков Оператора, сущности отношений с Контрагентом.
  4. Ввод в эксплуатацию новых информационных систем персональных данных или расширение функциональности существующих допускается после согласования с ответственным за обработку персональных данных Оператора.
  5. Для целей согласования заинтересованный работник предоставляет описание бизнес-процесса с использованием новой информационной системы персональных данных или функционала, перечень задействованных должностей, цели, которые предполагается решить, сведения о местонахождении баз данных, сведения о государствах, в которых планируется обработка персональных данных (в том числе доступ), перечень персональных данных по каждой категории субъекта персональных данных.

11. Неавтоматизированная обработка персональных данных

  1. Для обеспечения безопасности персональных данных при неавтоматизированной обработке принимаются следующие меры:

    1. все действия по обработке персональных данных осуществляются только работниками Оператора, допущенными приказом Генерального директора к работе с персональными данными, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции;
    2. с Контрагентом, осуществляющим неавтоматизированную обработку персональных данных, заключается договор, включающий условия о принятии соответствующих мер защиты персональных данных;
    3. обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

12. Права субъекта персональных данных

  1. Субъект персональных данных имеет право:

    1. обращаться за внесением изменений в предоставленные персональные данные, их удалением;
    2. требовать извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные;
    3. направлять Оператору обращения, касающиеся обработки его персональных данных в пределах, касающихся Оператора;
    4. реализовывать иные права, предусмотренные действующим законодательством, заключенным субъектом персональных данных и Оператором договором, условиями согласия на обработку персональных данных.
  2. Оператор реагирует на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным согласно разработанному регламенту.

13. Сведения о реализуемых мерах по защите персональных данных

  1. При обработке персональных данных Оператор принимает необходимые правовые, организационные и технические меры и обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, которыми являются в частности (но не ограничиваясь):

    1. назначение ответственного за обработку персональных данных;
    2. ограничение состава работников, имеющих доступ к персональным данным;
    3. программная идентификация и учет действий;
    4. осуществление антивирусного контроля и иных мер от вредоносного программно-математического воздействия;
    5. применение средств резервного копирования и восстановления информации;
    6. обновление программного обеспечения при наличии исправлений безопасности от производителей;
    7. осуществление шифрования при передаче персональных данных в сети Интернет;
    8. принятие мер, связанных с допуском только надлежащих лиц в места установки технических средств;
    9. применение технических средств охраны помещений, в которых расположены технические средства информационных систем персональных данных, и мест хранения материальных носителей персональных данных.
  2. Оператор обеспечивает безопасность персональных данных, в частности:

    1. с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных;
    2. применением технических мер в соответствии с угрозами безопасности персональных данных при их обработке в информационных системах персональных данных;
    3. применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
    4. применением средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
    5. оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до начала работы в информационной системе персональных данных, проведенной Оператором;
    6. учетом машинных носителей персональных данных, в случае их использования;
    7. процедур, связанных с обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
    8. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
    9. установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
    10. контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

14. Конфиденциальность

  1. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без соблюдения принципа, основанного на согласии субъекта персональных данных, за исключением случаев, предусмотренных действующим законодательством.

15. Уничтожение персональных данных

  1. Уничтожение персональных данных производится в следующих случаях:

    1. по достижении целей их обработки или в случае утраты необходимости в их достижении в срок, не превышающий тридцати дней с момента достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных (его представителем, нанимателем);
    2. в случае выявления неправомерной обработки персональных данных или правомерного отзыва персональных данных в срок, не превышающий десяти рабочих дней с момента выявления такого случая;
    3. в случае истечения срока хранения персональных данных, определяемого в соответствии с законодательством РФ и организационно-распорядительными документами Оператора;
    4. в случае предписания уполномоченного органа по защите прав субъектов персональных данных, органов прокуратуры России или решения суда.
  2. Уничтожение носителей персональных данных должно соответствующим образом документироваться.
  3. Структурным подразделением Оператора, ответственным за документооборот и архивирование, осуществляется систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.
  4. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседаниях специально созданной комиссии.
  5. По итогам заседания составляются протокол и акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем специально созданной комиссии.
  6. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

16. Исключения из обработки

  1. Оператор не обрабатывает биометрические персональные данные.
  2. У Оператора отсутствуют процессы, связанные с принятием решений исключительно на основании автоматизированной обработки персональных данных.
  3. Оператор не предоставляет неограниченный доступ к персональным данным третьим лицам.
  4. Оператор не осуществляет инициативных контактов в информационно-рекламных целях.

17. Ответственный за организацию обработки персональных данных

  1. Оператор назначает лицо, ответственное за организацию обработки персональных данных.
  2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от Генерального директора Оператора и подотчетно ему.
  3. Оператор, включая его должностных лиц, обязаны предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 Федерального закона № 152-ФЗ, а также иные сведения по запросу ответственного за обработку персональных данных.
  4. Работники или их непосредственные руководители обязаны сообщать ответственному за обработку персональных данных о случаях изменения процессов выполнения работниками трудовой деятельности и должностных обязанностей, затрагивающие работу с персональными данными, в том числе в информационных системах.
  5. Лицо, ответственное за организацию обработки персональных данных, обязано:

    1. осуществлять внутренний контроль за соблюдением Оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
    2. доводить до сведения работников Оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
    3. давать пояснения работникам об условиях обработки персональных данных согласно данной Политики
    4. организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и/или осуществлять контроль за приемом и обработкой таких обращений и запросов

18. Внутренний контроль

  1. В целях организации Внутреннего контроля Оператор утверждает:

    • правила Внутреннего контроля;
    • план Внутреннего контроля.
  2. По результатам мероприятий Внутреннего контроля делается вывод о правомерности обработки персональных данных Оператора, в том числе о соответствии:

    • Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам;
    • локальным актам Оператора.
  3. Результаты Внутреннего контроля оформляются в виде акта. Копия акта предоставляется Генеральному директору Оператора.
  4. По результатам выявленных несоответствий по результатам Внутреннего контроля принимаются меры по устранению нарушений, могут приниматься решения о привлечении работников к дисциплинарной ответственности.
  5. По инициативе ответственного за обработку персональных данных создается комиссия по ликвидации нарушений, выявленных по результатам Внутреннего контроля.
  6. Локальными нормативными актами Оператором может быть утверждено положение о Внутреннем контроле.

19. Заключительные положения

  1. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных актов по обработке и защите персональных данных, а также по решению Оператора.
  2. Контроль исполнения требований настоящей Политики осуществляется в порядке Внутреннего контроля.
  3. Вопросы, не урегулированные настоящей Политикой, регулируются действующим законодательством Российской Федерации и локальными нормативными актами Оператора, принимаемыми в целях реализации Политики.
  4. Оператор может издавать иные локальные нормативные акты, уточняющие отдельные принципы обработки персональных данных.

Для корректной работы
нужно перевернуть устройство