ПОЛИТИКА
в отношении обработки и защиты персональных данных АО «Лаборатория Цифрового Развития»
1.Перечень сокращений
АО      Акционерное общество
ГПХ      Договор гражданско-правового характера
ИНН      Индивидуальный номер налогоплательщика
ИСПДн      Информационная система персональных данных
ПДн      Персональные данные
РФ      Российская Федерация
СНИЛС      Страховой номер индивидуального лицевого счета
ФСБ      России Федеральная служба безопасности Российской Федерации
ФСТЭК      России Федеральная служба по техническому и экспортному контролю Российской Федерации
ФЗ РФ      Федеральный закон Российской Федерации
2.Термины и определения
В настоящей Политике используются следующие термины и определения:
      Автоматизированная Обработка ПДн – Обработка ПДн с помощью средств вычислительной техники.
      Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
      Блокирование ПДн – временное прекращение Обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
      Биометрические ПДн – данные, характеризующие биологические и физиологические особенности человека;
      Деловой партнер – контрагенты и потенциальные контрагенты Общества. Потенциальные контрагенты, у которых на данный момент нет договорных отношений с Обществом, также относятся к Деловым партнерам. К Деловым партнерам также относятся государственные органы (включая налоговые органы) и физические лица (имеющие договорные отношения с Обществом). К потенциальным Деловым партнерам относятся Деловые партнеры, с которым Общество только планирует вступить в договорные отношения.
      Информационная безопасность – состояние защищенности Общества в условиях угроз в информационной сфере. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих обработку информации, а также системы регулирования возникающих при этом отношений. Информационная безопасность достигается определением, достижением и поддержанием конфиденциальности, целостности, доступности и достоверности информации, принадлежащей или обрабатываемой Обществом, а также обеспечением аутентичности, неотказуемости и подотчетности участников процесса обработки такой информации.
      Информационная система ПДн (далее – ИСПДн) – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технологических средств.
      Информационные ресурсы – отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных и т.п.).
Инцидент информационной безопасности – появление одного или нескольких нежелательных или неожиданных событий информационной безопасности, с которыми связана фактическая или потенциальная реализация угрозы информационной безопасности в отношении активов и бизнес-процессов Общества.
      Конфиденциальная информация – информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством РФ.
      Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, Передачу (Распространение, предоставление, доступ), Блокирование, удаление, уничтожение ПДн.
      Общество – АО «Лаборатория Цифрового Развития».
      Оператор ПДн (далее – оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие Обработку ПДн, а также определяющие цели Обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн. Далее по тексту настоящей Политики под Оператором ПДн или Оператором понимается Общество.
      Передача ПДн – распространение, предоставление, доступ к ПДн.
      Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту ПДн).
      Персональные данные, разрешенные субъектом ПДн для распространения – ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на Обработку ПДн, разрешенных субъектом ПДн для Распространения в порядке, предусмотренном [1].
      Пользователь – лицо, использующее Сервисы Оператора и информационные ресурсы, размещенные в информационно-технологической инфраструктуре Общества.
      Пользовательские данные – технические данные, которые передаются устройством Пользователя, в том числе: IP-адрес, информация, сохраненная в файлах сookie, информация о браузере, операционной системе на устройстве Пользователя, количество просмотренных страниц, длительность пребывания на Сервисах Оператора, запросы, которые Пользователь использовал при переходе на Сервисы Оператора, страницы, с которых были совершены переходы, сведения о мобильном устройстве, в том числе идентификатор устройства, идентификатор сессии, информация об онлайн-действиях Пользователя с использованием Сервиса Оператора и иная техническая информация, передаваемая устройством.
      Поручение Оператора – договор, государственный или муниципальный контракт, либо принятый государственным органом или муниципальным органом соответствующий акт, на основании которого Оператор имеет право поручить Обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено ФЗ.
      Посетитель Сайта – посетитель Сайта https://vesna-group.ru/, в т.ч. получающий услугу Оператора «Заказать консультацию».
      Предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
      Распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц.
      Регуляторы – в соответствии с [1] функции регуляторов осуществляют Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор), Федеральная служба безопасности Российской Федерации (далее – ФСБ России), Федеральная служба по техническому и экспортному контролю (далее – ФСТЭК России);
      Руководство Общества – генеральный директор Общества (его заместители).
      Сайт – официальные представительства Общества в сети Интернет: https://vesna-group.ru/.
      Сервис Оператора – информационные ресурсы Оператора, размещенные в информационно-телекоммуникационной сети Интернет, в том числе Сайт, или мобильных приложениях Оператора.
      Специальные категории ПДн – ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
      Структурное подразделение – подразделение, предусмотренное организационной структурой Общества и находящееся в непосредственном подчинении Руководства Общества.
      Трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
      Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и/или в результате которых уничтожаются материальные носители ПДн.
      Уровень защищенности ПДн – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПДн при их обработке в ИСПДн;
      Устав – документ Общества, утвержденный Решением Единственного учредителя от 21.04.2020.
      Участники процесса – структурные подразделения и их работники, которые участвуют в процессе обработки и/или защиты ПДн.
3.Общие положения
1.1.Настоящая Политика разработана во исполнение требований п. 2 ч.1 ст.18.1 [1] и определяет цели, содержание и основные направления деятельности Оператора по обеспечению законности и безопасности Обработки ПДн.
1.2.Настоящая Политика разработана с учетом рекомендаций Роскомнадзора [13].
1.3.Действие настоящей Политики распространяется на все ПДн, которые обрабатывает Оператор, и на все технологические процессы и бизнес-процессы Оператора, в рамках которых осуществляется Обработка ПДн.
1.4.Настоящая Политика распространяется на отношения в области Обработки ПДн, возникшие у Оператора как до, так и после утверждения настоящей Политики, за исключением установленных в п. 3.5. настоящей Политики случаев.
1.5.Действие настоящей Политики не распространяется на отношения, возникающие при:
- Обработке ПДн физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов ПДн;
- организации хранения, комплектования, учета и использования содержащих ПДн документов архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле в РФ;
- Обработке ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
Настоящая Политика не регулирует взаимоотношения в части применения положений Общего регламента Европейского союза по защите данных от 27.04.2016 г. № 2016/679 (GDPR).
1.6.Настоящая Политика подлежит доведению до всех работников Оператора и принятию ими к руководству при обработке и обеспечении безопасности ПДн.
1.7.Во исполнение требований ч. 2 ст.18.1 [1] настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на Сайте.
1.8.Настоящая Политика, а также все изменения и дополнения к ней принимаются и утверждаются в установленном Оператором порядке и действуют до замены их новыми.
1.9.Ответственность за поддержание настоящей Политики в актуальном состоянии и контроль за исполнением ее требований возлагается на работника, назначенного ответственным за организацию Обработки ПДн.
1.10.Изменения и дополнения в настоящую Политику могут вноситься в случаях изменения законодательства РФ о ПДн и принятых в соответствии с ним нормативных правовых актов, существенного изменения в структуре технологических процессов и бизнес-процессов, в рамках которых осуществляется Обработка ПДн, изменения организационной структуры Общества и полномочий Участников процесса, а также по результатам анализа инцидентов информационной безопасности, актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, по результатам проведения внутренних аудитов информационной безопасности и других контрольных мероприятий.
1.11.В случае изменения законодательства РФ о ПДн и принятых в соответствии с ним нормативных правовых актов, изменения или введения в действие стандартов, нормативно-методических рекомендаций, требований уполномоченных органов настоящая Политика применяется в части, не противоречащей вновь принятым нормативным правовым документам.
1.12.Внутренние нормативные и распорядительные документы Оператора, затрагивающие вопросы обработки и защиты ПДн, должны разрабатываться с учетом положений настоящей Политики и не противоречить им.
4.Права и обязанности субъектов ПДн
4.1. Субъект ПДн вправе:
4.1.1. Получить информацию, касающуюся обработки его ПДн, за исключением случаев, предусмотренных ФЗ ([1], ст.14, ч.8). Сведения предоставляются субъекту ПДн Оператором в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких ПДн. Субъекту ПДн по запросу может быть предоставлена следующая информация:
  • подтверждение факта Обработки ПДн Оператором;
  • правовые основания и цели Обработки ПДн;
  • цели и применяемые Оператором способы Обработки ПДн;
  • наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн, или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании ФЗ;
  • обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен ФЗ;
  • сроки Обработки ПДн, в том числе сроки их хранения;
  • порядок осуществления субъектом ПДн прав, предусмотренных ст.14 [1];
  • информацию об осуществленной или о предполагаемой Трансграничной передаче ПДн;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего Обработку ПДн по Поручению Оператора, если обработка поручена или будет поручена такому лицу;
  • информацию о способах исполнения Оператором обязанностей, установленных ст.18.1 [1];
  • иные сведения, предусмотренные [1] или другими ФЗ.
4.1.2. Требовать от Оператора уточнения его ПДн, их Блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4.1.3. Требовать прекращения Обработки ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом ПДн с помощью средств связи, а также в целях политической агитации.
4.1.4. В согласии на Обработку ПДн, разрешенных субъектом ПДн для Распространения, установить запреты на Передачу (кроме предоставления доступа) этих ПДн Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих ПДн неограниченным кругом лиц. Отказ Оператора в установлении субъектом ПДн запретов и условий, предусмотренных ст.10.1 [1], не допускается.
4.1.5. Обратиться с требованием прекратить Передачу (Распространение, предоставление, доступ) своих ПДн, ранее разрешенных субъектом ПДн для Распространения, к любому лицу, обрабатывающему его ПДн, в случае несоблюдения положений ст.10.1 [1] или обратиться с таким требованием в суд. Данное лицо обязано прекратить Передачу (Распространение, предоставление, доступ) ПДн в течение трех рабочих дней с момента получения требования субъекта ПДн или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.
4.1.6. Обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его ПДн.
4.1.7. Рассчитывать на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
4.1.8. Самостоятельно ограничить информацию, передаваемую его устройством Оператору, в том числе Пользовательские данные, собираемые с использованием технологии сookie.
4.1.9. Использовать иные права, предусмотренные ФЗ ([1], гл.3).
4.2. В целях обеспечения безопасности ПДн, а также безопасной работы с Сервисами Оператора субъект ПДн обязан соблюдать следующие правила:
  • использовать на рабочем месте (персональном компьютере, мобильном устройстве) программное обеспечение, полученное на законных основаниях, с соблюдением авторских прав и условий лицензионных соглашений;
  • устанавливать все необходимые обновления безопасности, рекомендуемые разработчиком программного обеспечения (операционной системы, браузера, мобильного приложения), совместимые с функциональностью информационных систем Оператора;
  • устанавливать и регулярно обновлять лицензионное антивирусное программное обеспечение, регулярно проводить проверку рабочего места (персонального компьютера, мобильного устройства) на наличие вредоносного программного обеспечения;
  • не загружать программ и данных из недостоверных источников, не посещать сайты сомнительного содержания с рабочего места, с которого осуществляется работа с Сервисами Оператора;
  • не подключаться к Сервисам Оператора с чужих компьютеров, мобильных устройств;
  • не передавать кому-либо учетные данные для авторизации на Сервисах Оператора.
5. Права и обязанности Оператора
5.1. Оператор обязан:
5.1.1. Организовывать Обработку ПДн и обеспечить их безопасность в соответствии с требованиями документов [1] и [3].
5.1.2. Не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено ФЗ ([1], ст.7).
5.1.3. Принимать и отрабатывать обращения и запросы субъектов ПДн и их законных представителей в соответствии с требованиями [1].
5.1.4. Предоставить субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн.
5.1.5. Представить доказательства обоснованности отказа в выполнении повторного запроса субъекта ПДн ([1], ст.14, ч.6).
5.1.6. Разъяснять субъекту ПДн юридические последствия отказа предоставить его ПДн и/или дать согласие на их обработку в случае, если в соответствии с [1] предоставление ПДн и/или получение Оператором согласия на Обработку ПДн являются обязательными.
5.1.7. Если ПДн получены не от субъекта ПДн, Оператор, за исключением случаев, предусмотренных ч.4 ст.18 [1], до начала обработки таких ПДн обязан предоставить субъекту ПДн следующую информацию:
  • наименование либо фамилия, имя, отчество и адрес Оператора или его представителя;
  • цель Обработки ПДн и ее правовое основание;
  • перечень ПДн;
  • предполагаемые пользователи ПДн;
  • установленные [1] права субъекта ПДн;
  • источник получения ПДн.
5.1.8. Обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, указанных в пп. 2, 3, 4, 8 ч.1 ст.6 [1].
5.1.9. Предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, указанных в пп.2-11 ч.1 ст.6, ч.2 ст.10 и ч.2 ст.11 [1].
5.1.10. В срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта ПДн опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц ПДн, разрешенных субъектом ПДн для Распространения.
5.1.11. Сообщать в Роскомнадзор по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
5.1.12. В порядке, определенном ФСБ России, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование ФСБ России о компьютерных инцидентах, которые повлекли неправомерную Передачу (предоставление, Распространение, доступ) ПДн.
5.1.13. Предоставить безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту ПДн. В срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие ПДн. Оператор обязан уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.
5.1.14. Получить предварительное согласие субъекта ПДн на обработку его ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи.
5.2. Оператор вправе:
5.2.1. Поручить Обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено [1], на основании заключаемого с этим лицом договора. Лицо, осуществляющее Обработку ПДн по Поручению Оператора, обязано организовывать Обработку ПДн и обеспечить их безопасность в соответствии с требованиями документов [1] и [3].
5.2.2. Продолжить Обработку ПДн без согласия субъекта ПДн (в случае отзыва субъектом ПДн согласия на Обработку ПДн) при наличии оснований, указанных в пп.2-11 ч.1 ст.6, ч.2 ст. 10 и ч.2 ст.11 [1].
5.2.3. Распространять ПДн субъекта ПДн в случае если из предоставленного субъектом ПДн согласия на Обработку ПДн, разрешенных субъектом ПДн для Распространения, следует, что субъект ПДн согласился с Распространением ПДн ([1], ст.10.1, ч.4) при условии предоставления субъектом ПДн своего согласия на Обработку ПДн непосредственно Оператору либо с использованием информационной системы Роскомнадзора ([1], ст.10.1, ч.6).
5.2.4. Отказать субъекту ПДн в выполнении повторного запроса, не соответствующего условиям, предусмотренным ч.4 и 5 ст.14 [1]. Такой отказ должен быть мотивированным.
5.2.5. Отстаивать свои интересы в суде.
5.2.6. Предоставлять ПДн субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.).
5.2.7. Отказывать в предоставлении ПДн в случаях, предусмотренных законодательством.
5.2.8. Обрабатывать ПДн субъекта без его согласия в случаях, предусмотренных законодательством.
6. Цели сбора и общие принципы Обработки ПДн
6.1. Обработка ПДн осуществляется Оператором в следующих целях:
6.1.1. Исполнение требований законодательства РФ, в том числе:
  • трудового законодательства РФ, включая законодательство об охране труда (ведение кадрового учета и отчетности по кадровым вопросам; ведение бухгалтерского учета и бухгалтерской (финансовой) отчетности; начисление и выдача заработной платы, отпускных и пособий по временной нетрудоспособности, премий и иных выплат, установленных Оператором исходя из своих финансовых возможностей и отраслевой специфики (материальная помощь, выдача подарков, доплаты за характер работы и др.); индексация заработной платы; обучение безопасным методам и приемам выполнения работ и оказанию первой помощи пострадавшим на производстве, проведение инструктажа по охране труда, стажировки на рабочем месте и проверки знания требований охраны труд; проведение аттестации рабочих мест по условиям труда с последующей сертификацией организации работ по охране труда; расследование и учет в установленном порядке несчастных случаев на производстве и профессиональных заболеваний);
  • налогового законодательства РФ (ведение налогового учета и налоговой отчетности; исчисление и уплата налогов);
  • пенсионного законодательства РФ (ведение отчетности в единый социальный фонд);
  • страхового законодательства РФ (ведение отчетности по страховым взносам, оформление полисов обязательного медицинского страхования для работников Оператора; начисление и уплата взносов по медицинскому, пенсионному и социальному страхованию, от несчастных случаев на производстве и профессиональных заболеваний);
  • законодательства РФ о государственных пособиях гражданам, имеющим детей (начисление, выплата и индексация пособий по беременности и родам, в связи с рождением и воспитанием ребенка);
  • законодательства РФ о занятости населения (исчисление и выполнение квоты для приема на работу инвалидов и молодежи; резервирование рабочих мест для инвалидов и молодежи; ведение учета и отчетности по квотированию, наличию рабочих мест и вакансий для инвалидов и молодежи);
  • законодательства РФ об исполнительном производстве (представление интересов Оператора и наделение специальными полномочиями исполнение требований, содержащихся в судебных актах, актах других органов и должностных лиц, в том числе начисление и выплата алиментов; взыскание задолженности по платежам в бюджет; выплата начисленных, но не выплаченных в установленный срок работнику заработной платы и (или) других выплат, осуществляемых в рамках трудовых отношений;
  • фактическое осуществление предусмотренных Уставом видов деятельности (в том числе управленческий учет и отчетность; составление и ведение списка аффилированных лиц; раскрытие информации; осуществление контроля за соблюдением законодательства РФ при осуществлении Оператором хозяйственных и финансовых операций, наличием и движением имущества и обязательствами, использованием материальных и трудовых ресурсов)).
6.1.2. Планирование и ведение деловых переговоров (встреч) о заключении договоров (соглашений), согласование условий договоров (соглашений) и ответственности сторон, урегулирование разногласий на преддоговорной стадии, преддоговорная проверка Делового партнера (его представителя) до заключения с ним договора (соглашения);
6.1.3. Заключение, в том числе по инициативе субъектов ПДн, любых договоров (соглашений) и публичных оферт и их исполнение;
6.1.4. Оформление полисов добровольного медицинского страхования;
6.1.5. Осуществление новостных и рекламных рассылок в целях продвижения товаров, работ и услуг Оператора на рынке путем осуществления прямых контактов с субъектами ПДн с помощью средств связи;
6.1.6. Защита жизни и здоровья физических лиц, имущества и объектов недвижимости от противоправных посягательств, обеспечение внутриобъектового и пропускного режимов на объектах на территорию и объекты Оператора;
6.1.7. Замещение вакантных должностей соискателями (кандидатами на работу), наиболее полно соответствующими требованиям Оператора (подбор соискателей на вакантные должности, проверка соискателей на вакантные должности, а также осуществление информационного и организационного взаимодействия с соискателями);
6.1.8. Предоставление Пользователям доступа к персонализированным Сервисам Оператора;
6.1.9. Обучение и повышение квалификации;
6.1.10. Поддержание обратной связи, включая направление обращений (запросов), касающихся оказания услуг, использования Сервисов Оператора, обработка обращений (запросов);
6.1.11. Участие в тендерах (аукционах и конкурсах, а также в иных процедурах, предусмотренных действующим законодательством) и подготовка необходимых для участия в тендерах документов;
6.1.12. Формирование и ведение корпоративных справочников;
6.1.13. Оформление банковских карт в рамках зарплатных проектов;
6.1.14. Предоставление клиентской и технической поддержки Сервисов Оператора, Пользователей;
6.1.15. Улучшение качества функционирования Сервисов Оператора и услуг, оказываемых Оператором.
6.2. Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается Обработка ПДн, несовместимая с целями сбора ПДн. Оператор осуществляет Обработку ПДн на основе принципов:
  • законности, добросовестности, справедливости и конфиденциальности при Обработке ПДн;
  • законности целей и способов Обработки ПДн;
  • соответствия целей Обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям Оператора;
  • соответствия объема и характера обрабатываемых ПДн, способов Обработки ПДн целям Обработки ПДн;
  • достоверности ПДн, их достаточности для целей Обработки ПДн, недопустимости Обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;
  • недопустимости объединения созданных для несовместимых между собой целей баз данных ИСПДн;
  • соблюдения запретов и условий, установленных в согласии на Обработку ПДн, разрешенных субъектом ПДн для Распространения, в соответствии с [1].
7. Правовые основания Обработки ПДн
Правовым основанием Обработки ПДн является совокупность нормативно-правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет Обработку ПДн, в частности:
  • Конституция РФ;
  • Гражданский кодекс РФ;
  • Налоговый кодекс РФ;
  • Трудовой кодекс РФ;
  • Федеральный закон РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
  • Федеральный закон РФ от 26.12.1995 г. № 208-ФЗ «Об акционерных обществах;
  • Федеральный закон РФ от 06.12.2011 г. № 402-ФЗ «О бухгалтерском учете»;
  • Федеральный закон РФ от 29.11.2010 г. № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
  • Федеральный закон РФ от 15.12.2001 г. № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
  • Федеральный закон РФ от 15.12.2001 г. № 166-ФЗ «О государственном пенсионном обеспечении в Российской Федерации»;
  • Федеральный закон РФ от 19.05.1995 г. № 81-ФЗ «О государственных пособиях гражданам, имеющим детей»;
  • Федеральный закон РФ от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
  • Федеральный закон РФ от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон РФ от 02.10.2007 г. № 229-ФЗ «Об исполнительном производстве»;
  • Закон РФ от 19.04.1991 г. № 1032-1 «О занятости населения в Российской Федерации»;
  • Закон РФ от 07.02.1992 № 2300-1 «О защите прав потребителей»;
  • Закон города Москвы от 22.12.2004 г. № 90 «О квотировании рабочих мест»;
  • Постановление Правительства РФ от 15.04.2014 г. № 316 «Об утверждении государственной программы Российской Федерации «Экономическое развитие и инновационная экономика»;
  • Устав;
  • Договоры (соглашения), в том числе публичные оферты, заключаемые между Оператором и субъектами ПДн;
  • Согласия на обработку ПДн субъектов ПДн;
  • в случаях, описанных в ч.1 ст.6 [1];
  • иные нормативно-правовые акты, действие которых распространяется на деятельность Оператора.
8. Сведения по вопросам Обработки ПДн, определенных для целей их обработки
Сведения по вопросам Обработки ПДн, определенных для каждой из целей их обработки представлены в приложении 1.
9. Обработка биометрических ПДн и специальных категорий ПДн
9.1. Обработка биометрических ПДн Оператором не осуществляется.
9.2. ПДн о расовой принадлежности, о политических взглядах, религиозных и философских убеждениях, а также об интимной жизни субъекта ПДн Оператором не обрабатываются.
9.3. ПДн о судимости обрабатываются Оператором в соответствии с ФЗ.
9.4. Обработка сведений о состоянии здоровья работников Оператора осуществляется Оператором исключительно в случае, если эти данные прямо относятся к возможности субъекта исполнять свои обязательства перед Оператором либо обрабатываются в целях исполнения требований действующего законодательства РФ.
9.5. В случае, если обработка иных специальных категорий ПДн необходима исключительно для осуществления и выполнения возложенных законодательством РФ на Оператора функций, полномочий и обязанностей, то такая обработка осуществляется только с согласия на обработку ПДн субъекта ПДн в письменной форме, если иное не предусмотрено законодательством РФ.
10. Трансграничная передача ПДн
Трансграничная передача ПДн Оператором не осуществляется.
11. Случаи Обработки ПДн
Обработка Оператором ПДн осуществляется в случаях, определенных в соответствии с [1], а именно:
  • в соответствии с пунктом 1 части 1 статьи 6 [1] Обработка ПДн субъекта ПДн осуществляется с согласия на обработку ПДн;
  • в соответствии с пунктом 2 части 1 статьи 6 [1] Обработка ПДн необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на Оператора функций, полномочий и обязанностей;
  • в соответствии с пунктом 3 части 1 статьи 6 [1] Обработка ПДн осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
  • в соответствии с пунктом 3.1 части 1 статьи 6 [1] Обработка ПДн необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;
  • в соответствии с пунктом 5 части 1 статьи 6 [1] Обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
  • в соответствии с пунктом 6 части 1 статьи 6 [1] Обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия на обработку ПДн невозможно;
  • в соответствии с пунктом 7 части 1 статьи 6 [1] Обработка ПДн необходима для осуществления прав и законных интересов Оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом от 03.07.2016 № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
  • в соответствии с пунктом 11 части 1 статьи 6 [1] Обработка ПДн, подлежащих опубликованию или обязательному раскрытию, осуществляется в соответствии с [1];
  • в соответствии с пунктом 3 статьи 6 [1] Обработка ПДн осуществляется по Поручению Оператора с согласия субъекта ПДн или на основании [1];
  • иные основания, предусмотренные законодательством РФ.
12. Согласие субъекта ПДн на Обработку ПДн
12.1. Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на Обработку ПДн должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на Обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено ФЗ. В случае получения согласия на Обработку ПДн от представителя субъекта ПДн полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются Оператором.
12.2. Согласие на Обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на Обработку ПДн Оператор вправе продолжить Обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в пп.2-11 ч.1 ст.6, ч.2 ст.10 и ч.2 ст.11 [1].
12.3. Обязанность предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, указанных в пп.2-11 ч.1 ст.6, ч.2 ст.10 и ч.2 ст.11 [1], возлагается на Оператора.
12.4. Обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн, если иное не предусмотрено законодательством РФ. Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с законодательством РФ электронной подписью. Согласие в письменной форме субъекта ПДн на обработку его ПДн должно включать следующую информацию:
12.4.1. Фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе.
12.4.2. Фамилию, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПДн).
12.4.3. Наименование или фамилию, имя, отчество и адрес Оператора, получающего согласие субъекта ПДн.
12.4.4. Цель Обработки ПДн.
12.4.5. Перечень ПДн, на обработку которых дается согласие субъекта ПДн.
12.4.6. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего Обработку ПДн по Поручению Оператора, если обработка будет поручена такому лицу.
12.4.7. Перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых Оператором способов Обработки ПДн.
12.4.8. Срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва, если иное не установлено ФЗ.
12.4.9. Подпись субъекта ПДн.
12.5. Согласие на Обработку ПДн, разрешенных субъектом ПДн для Распространения, оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн. Оператор обеспечивает субъекту ПДн возможность определить перечень ПДн по каждой категории ПДн, указанной в согласии на Обработку ПДн, разрешенных субъектом ПДн для Распространения.
12.6. Требования к содержанию согласия на Обработку ПДн, разрешенных субъектом ПДн для Распространения, устанавливаются [5]. Согласие на Обработку ПДн, разрешенных субъектом ПДн для Распространения, должно содержать следующую информацию:
12.6.1. Фамилия, имя, отчество (при наличии) субъекта ПДн.
12.6.2. Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта ПДн).
12.6.3. Сведения об Операторе – наименование, адрес, указанный в Едином государственном реестре юридических лиц, идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту ПДн).
12.6.4. Сведения об информационных ресурсах Оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с ПДн субъекта ПДн.
12.6.5. Цель (цели) Обработки ПДн.
12.6.6. Категории и перечень ПДн, на обработку которых дается согласие субъекта ПДн.
12.6.7. ПДн (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту ПДн).
12.6.8. Категории и перечень ПДн, для обработки которых субъект ПДн устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов (заполняется по желанию субъекта ПДн).
12.6.9. Условия, при которых полученные ПДн могут передаваться Оператором, осуществляющим обработку ПДн, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных работников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных ПДн (заполняется по желанию субъекта ПДн).
12.6.10. Срок действия согласия.
12.7. Согласие на Обработку ПДн, разрешенных субъектом ПДн для Распространения, может быть предоставлено Оператору:
  • непосредственно;
  • с использованием информационной системы уполномоченного органа по защите прав субъектов ПДн.
  • Правила использования информационной системы уполномоченного органа по защите прав субъектов ПДн, в том числе порядок взаимодействия субъекта ПДн с Оператором, определяются в соответствии с [12].
13. Сроки обработки (в том числе хранения) ПДн
13.1. ПДн обрабатываются (за исключением хранения) Оператором в срок:
13.1.1. До истечения действия договора/Поручения Оператора/согласия, на основании которого и в соответствии с которым осуществляется обработка ПДн, или до получения обращения об отзыве согласия субъекта ПДн на обработку его ПДн, если иное не предусмотрено Федеральным законом РФ.
13.1.2. До выполнения возложенных законодательством РФ на Оператора функций, полномочий и обязанностей, защиты прав и законных интересов Оператора и третьих лиц, в том числе в рамках судебного и административного производства.
13.1.3. До выявления неправомерной Обработки ПДн.
13.2. Сроки хранения ПДн, обрабатываемых Оператором, устанавливается в соответствии с законодательством РФ и составляют в том числе:
13.2.1. Срок хранения договоров, соглашений, контрактов, документов (акты, протоколы разногласий) к ним – 5 лет ([10], п.11).
13.2.2. Срок хранения документов (расчеты, заключения, справки, переписка) к договорам, соглашениям, контрактам – 5 лет ([10], п.12).
13.2.3. Срок хранения согласий на обработку ПДн – 3 года после истечения срока действия согласия или его отзыва, если иное не предусмотрено законодательством РФ, договором ([10], п.441).
13.2.4. Срок хранения личных карточек и личных дел руководителей и работников, сведений о трудовой деятельности и трудовом стаже работников, в том числе в виде баз данных – 50/75 лет ([10]. пп.444, 445, 450, 463, 621).
13.2.5. Срок хранения личных документов (трудовая книжка, дипломы, аттестаты, удостоверения, свидетельства) – до востребования, иначе 50/75 лет ([10], п.449).
13.2.6. Срок хранения характеристик, справок об объективных сведениях на работников, листов собеседования – 5 лет ([10], пп.447, 448).
13.2.7. Срок хранения графиков отпусков, переписки по вопросам приема, перевода на другую работу (перемещения), увольнения работников, документов (характеристики, докладные записки, справки, переписка), связанные с применением дисциплинарных взысканий – 3 года ([10], пп.453-455).
13.2.8. Срок хранения документов по ведению воинского учета – 5 лет ([10], пп.457, 458).
13.2.9. Срок хранения списков (реестров) поставщиков (подрядчиков, исполнителей) и покупателей (заказчиков) – 5 лет ([10], п.509).
13.2.10. Журналы, базы данных регистрации обращений – 5 лет ([10], п.472).
13.2.11. Срок хранения иных документов, содержащих ПДн, определяется [10].
14. Порядок и условия Обработки ПДн
14.1. Обработка ПДн осуществляется в соответствии с требованиями законодательства РФ, с возложенными на Оператора обязанностями и с согласия субъектов ПДн на обработку их ПДн, а также без такового в случаях, предусмотренных законодательством РФ. С согласия субъекта ПДн при обработке его ПДн Оператором могут выполняться в том числе действия по сбору (получению), записи, систематизации, накоплении, хранении, уточнении (обновлении, изменении), извлечении, использовании, Передаче (предоставлении, доступу), Блокировании, удалении и уничтожении ПДн.
14.2. Обработка ПДн осуществляется Оператором с соблюдением принципов, представленных в п. 6.2, в случаях, указанных в разделе 11 настоящей Политики, и может выполняться с использованием или без использования средств автоматизации.
14.3. Правила Обработки ПДн, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами Оператора, применяются с учетом требований [4].
14.4. К Обработке ПДн допускаются работники Оператора, включенные в перечень лиц, допущенных к Обработке ПДн, и в должностных обязанностях которых предусмотрена Обработка ПДн.
14.5. Способы получения ПДн:
  • получение ПДн в устной и/или письменной форме непосредственно от субъектов ПДн;
  • получение ПДн из общедоступных источников;
  • внесение ПДн в журналы, реестры и информационные системы Оператора;
  • использование иных способов получения ПДн.
14.6. Оператором обеспечивается соответствие содержания и объема обрабатываемых ПДн заявленным целям обработки. Не допускается избыточность обрабатываемых ПДн по отношению к заявленным целям их обработки.
14.7. При обработке ПДн Оператором обеспечиваются точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных, или неточных данных.
14.8. При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, указанных в пп.2, 3, 4, 8 ч.1 ст.6 [1].
14.9. Хранение ПДн осуществляется Оператором в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки, если иной срок хранения ПДн не установлен законодательством РФ или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
14.10. Хранение материальных носителей ПДн осуществляется Оператором с соблюдением условий, обеспечивающих сохранность ПДн и исключающих несанкционированный доступ к ним.
14.11. Оператор вправе поручить Обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено законодательством РФ, на основании Поручения Оператора. Лицо, осуществляющее Обработку ПДн по Поручению Оператора, обязано соблюдать принципы и правила Обработки ПДн, предусмотренные [1], соблюдать конфиденциальность ПДн, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных [1]. В Поручении Оператора должны быть определены перечень ПДн, перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим Обработку ПДн, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн, требования, предусмотренные ч.5 ст.18 и ст.18.1 [1], обязанность по запросу Оператора ПДн в течение срока действия Поручения Оператора, в том числе до Обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения Поручения Оператора требований, установленных в соответствии с ст.6 [1], обязанность обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со ст.19 [1], в том числе требование об уведомлении оператора о случаях, предусмотренных ч.3.1 ст.21 [1]. Лицо, осуществляющее Обработку ПДн по Поручению Оператора, не обязано получать согласие субъекта ПДн на обработку его ПДн. В случае, если Оператор поручает Обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Оператор. Лицо, осуществляющее Обработку ПДн по Поручению Оператора, несет ответственность перед Оператором. В случае, если Оператор поручает Обработку ПДн иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом ПДн за действия указанных лиц несет Оператор и лицо, осуществляющее обработку ПДн по Поручению Оператора.
14.12. Предоставление ПДн (или доступа к ним) третьим лицам может производиться Оператором только в следующих случаях:
14.12.1. На основании ФЗ. В этом случае порядок предоставления ПДн регламентируется этим законом, его подзаконными актами, а также содержится в соответствующих запросах уполномоченных на это государственных органов. При Передаче ПДн работника Оператор должен соблюдать требования, указанные в ст.88 [2].
14.12.2. На основании договора, предусматривающего подобное предоставление ПДн (или доступа к ним) и при наличии согласия субъекта ПДн на предоставление ПДн (или доступа к ним) указанным третьим лицам. В этом случае порядок представления ПДн (или доступа к ним) определяется соответствующим договором. При заключении подобных договоров Оператор обязан обеспечить их соответствие требованиям законодательства РФ в области обеспечения защиты ПДн.
14.12.3. Оператор вправе передавать ПДн государственным органам, органам следствия и дознания, в Федеральную налоговую службу, Пенсионный фонд РФ, Фонд социального страхования и иным уполномоченным органам по основаниям, предусмотренным действующим законодательством РФ.
14.13. Передача (Распространение, предоставление, доступ) ПДн, разрешенных субъектом ПДн для Распространения, должна быть прекращена в любое время по требованию субъекта ПДн. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПДн, а также перечень ПДн, обработка которых подлежит прекращению. Указанные в данном требовании ПДн могут обрабатываться только Оператором, которому оно направлено.
14.14. Оператор принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, Блокирования, Распространения и других несанкционированных действий, в соответствии с [3].
14.15. Условиями прекращения Обработки ПДн могут являться достижение целей Обработки ПДн, истечение срока действия согласия или отзыв согласия субъекта ПДн на обработку его ПДн, требование о прекращении Обработки ПДн, ранее разрешенных для Распространения, решение суда, а также выявление неправомерной Обработки ПДн.
15. Порядок уточнения, блокирования, удаления и уничтожения ПДн
15.1. Оператор сообщает в порядке, предусмотренном ст.14 [1], субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставляет возможность ознакомления с этими ПДн при обращении субъекта ПДн или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Запрос субъекта ПДн или его представителя должен содержать:
  • номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
  • сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и/или иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором;
  • подпись субъекта ПДн или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
Оператор предоставляет сведения, указанные в ч.7 ст.14 [1], субъекту ПДн или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Если в обращении (запросе) субъекта ПДн не отражены в соответствии с требованиями [1] все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с ч.8 ст.14 [1], в том числе если доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.
В случае отказа в предоставлении информации о наличии ПДн о соответствующем субъекте ПДн или ПДн субъекту ПДн или его представителю при их обращении либо при получении запроса субъекта ПДн или его представителя Оператор дает в письменной форме мотивированный ответ, содержащий ссылку на положение ч.8 ст.14 [1] или иного ФЗ, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения субъекта ПДн или его представителя либо с даты получения запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
По запросу Роскомнадзора Оператор сообщает ему необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес Роскомнадзора мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
15.2. В случае выявления неправомерной Обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо Роскомнадзора Оператор осуществляет Блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечивает их Блокирование (если обработка ПДн осуществляется другим лицом, действующим по Поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет Блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечивает их Блокирование (если обработка ПДн осуществляется другим лицом, действующим по Поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если Блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.
15.3. В случае подтверждения факта неточности ПДн Оператор на основании сведений, представленных субъектом ПДн или его представителем либо Роскомнадзором, или иных необходимых документов уточняет ПДн либо обеспечивает их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять Блокирование ПДн.
15.4. В случае выявления неправомерной Обработки ПДн, осуществляемой Оператором или лицом, действующим по Поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку ПДн или обеспечивает прекращение неправомерной Обработки ПДн лицом, действующим по Поручению Оператора. В случае, если обеспечить правомерность Обработки ПДн невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, уничтожает такие ПДн или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Оператор уведомляет субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос Роскомнадзора были направлены Роскомнадзором, также указанный орган.
15.5. В случае установления факта неправомерной или случайной Передачи (предоставления, Распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, Оператор с момента выявления такого инцидента Оператором, Роскомнадзором или иным заинтересованным лицом уведомляет Роскомнадзор:
15.5.1. В течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором, по вопросам, связанным с выявленным инцидентом.
15.5.2. В течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставляет сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
15.6. В случае достижения цели Обработки ПДн Оператор прекращает Обработку ПДн или обеспечивает ее прекращение (если Обработка ПДн осуществляется другим лицом, действующим по Поручению Оператора) и уничтожает ПДн или обеспечивает их уничтожение (если Обработка ПДн осуществляется другим лицом, действующим по Поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели Обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Оператором и субъектом ПДн либо если Оператор не вправе осуществлять Обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных [1] или другими Федеральными законами.
15.7. В случае отзыва субъектом ПДн согласия на обработку его ПДн Оператор прекращает их обработку или обеспечивает прекращение такой обработки (если Обработка ПДн осуществляется другим лицом, действующим по Поручению Оператора) и в случае, если сохранение ПДн более не требуется для целей Обработки ПДн, уничтожает ПДн или обеспечивает их уничтожение (если Обработка ПДн осуществляется другим лицом, действующим по Поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Оператором и субъектом ПДн либо если Оператор не вправе осуществлять Обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных [1] или другими Федеральными законами.
15.8. В случае обращения субъекта ПДн к Оператору с требованием о прекращении Обработки ПДн Оператор в срок, не превышающий десяти рабочих дней с даты получения Оператором соответствующего требования, прекращает их обработку или обеспечивает прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим Обработку ПДн), за исключением случаев, предусмотренных пп.2-11 ч.1 ст.6, ч.2 ст.10 и ч.2 ст.11 [1]. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
15.9. В случае отсутствия возможности уничтожения ПДн в течение срока, указанного в пп.15.4-15.8 Оператор осуществляет Блокирование таких ПДн или обеспечивает их Блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен ФЗ.
15.10. При необходимости уничтожения или Блокирования части ПДн, обрабатываемых без использования средств автоматизации, уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию. Уничтожение части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление).
15.11. Подтверждение уничтожения ПДн в случаях, предусмотренных настоящим разделом, осуществляется в соответствии с требованиями [15], а именно:
15.11.1. В случае если Обработка ПДн осуществляется Оператором без использования средств автоматизации, документом, подтверждающим уничтожение ПДн субъектов ПДн, является акт об уничтожении ПДн.
15.11.2. В случае если Обработка ПДн осуществляется Оператором с использованием средств автоматизации, документами, подтверждающими уничтожение ПДн субъектов ПДн, являются акт об уничтожении ПДн, соответствующий требованиям, содержащимся в п.3 и п.4 [15], и выгрузка из журнала регистрации событий в ИСПДн.
16. Цели, задачи и общие принципы обеспечения безопасности ПДн
16.1. ПДн за исключением ПДн, подлежащих раскрытию в соответствии с требованиями законодательства РФ, и ПДн, являющихся разрешенными для Распространения в соответствии с [1], обрабатываемые Оператором, отнесены к Конфиденциальной информации в соответствии с официально утвержденным в Обществе перечнем информации, в отношении которой Обществом установлен режим конфиденциальности, и подлежат защите.
16.2. Основной целью обеспечения безопасности ПДн является минимизация рисков и возможного ущерба (потерь) от их реализации, возникших вследствие возможной реализации внутренних и внешних угроз безопасности ПДн и уязвимостей объектов защиты.
16.3. Основной задачей обеспечения безопасности ПДн при их обработке Оператором является противостояние угрозам безопасности ПДн, в том числе предотвращение утечки ПДн по техническим каналам, несанкционированного доступа к ним, предупреждение преднамеренных программно-технических воздействий с целью их разрушения (уничтожения), искажения в процессе обработки, разглашения, Передачи и хранения.
16.4. Основным условием реализации целей и задач обеспечения безопасности ПДн является обеспечение необходимого и достаточного уровня защиты ПДн.
16.5. Защита ПДн осуществляется Оператором на основе следующих принципов:
16.5.1. Законность – защита ПДн основывается на положениях и требованиях применимых законов, подзаконных актов, стандартов, нормативно-методических документов по защите ПДн.
16.5.2. Системность – системный подход к построению системы защиты ПДн предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности ПДн Оператором.
16.5.3. Комплексность – безопасность ПДн обеспечивается комплексом правовых, организационных и технических мер, реализованных Оператором.
16.5.4. Своевременность – принимаемые Оператором меры по обеспечению безопасности ПДн должны носить упреждающий характер.
16.5.5. Непрерывность – защита ПДн обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки ПДн, в том числе при проведении ремонтных и регламентных работ.
16.5.6. Преемственность и непрерывность совершенствования – предполагают постоянное совершенствование мер и средств защиты ПДн на основании результатов анализа функционирования системы защиты и автоматизированных ИСПДн с учетом выявления новых способов и средств реализации угроз безопасности ПДн, положительного отечественного и зарубежного опыта в сфере защиты ПДн. Оператор должен определить действия, необходимые для устранения причин потенциальных несоответствий требованиям по безопасности ПДн с целью предотвратить их повторное появление. Предпринимаемые предупреждающие действия должны соответствовать возможным негативным последствиям.
16.5.7. Разумная достаточность и адекватность – состояние и стоимость реализации мер защиты должны быть соизмеримы с рисками, связанными с обработкой и характером защищаемых ПДн.
16.5.8. Персональная ответственность – ответственность за обеспечение безопасности ПДн у Оператора возлагается на каждого работника в пределах его полномочий. Распределение обязанностей и полномочий работников Оператора должно обеспечивать выявление виновных лиц в случаях нарушения безопасности ПДн. Роли и обязанности работников должны быть определены и документально подтверждены.
16.5.9. Минимизация полномочий – предоставление и использование прав доступа к ПДн должно быть управляемо и ограничено. Доступ к ПДн предоставляется работникам Оператора только в объеме, необходимом для выполнения их должностных обязанностей.
16.5.10. Профессионализм и специализация – реализация мер по обеспечению безопасности ПДн и эксплуатации системы защиты должна осуществляться квалифицированными работниками Оператора.
16.5.11. Знание и мотивация лиц, допущенных к обработке ПДн – Оператор должен обладать информацией о своих работниках (кандидатах на работу) и Пользователях его Сервисов, позволяющей минимизировать вероятность реализации угроз безопасности ПДн, источники которых связаны с человеческим фактором. Оператор должен реализовать кадровую политику (тщательный подбор персонала и мотивация работников), позволяющую исключить или минимизировать возможность нарушения безопасности ПДн своими работниками.
16.5.12. Наблюдаемость и оцениваемость обеспечения безопасности ПДн – принимаемые Оператором меры по обеспечению безопасности ПДн должны быть спланированы так, чтобы результат их применения был прозрачен и мог быть оценен Регуляторами в пределах своих полномочий.
16.5.13. Обязательность оценки и контроля – неотъемлемой частью работ по защите ПДн является оценка эффективности системы защиты ПДн. С целью своевременного выявления и пресечения попыток нарушения установленных правил обеспечения информационной безопасности ПДн Оператором должны быть определены процедуры для постоянного контроля использования систем обработки и защиты ПДн, а результаты контроля должны регулярно анализироваться.
17. Сведения о реализуемых мерах по обеспечению обработки и безопасности ПДн
17.1. Оператор для выполнения своих обязанностей, предусмотренных [1] и принятыми в соответствии с ним нормативными правовыми актами, в частности для обеспечения обработки, безопасности и защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, Блокирования, копирования, предоставления, Распространения ПДн, а также от иных неправомерных действий в отношении ПДн принимает следующие правовые, организационные и технические меры:
  • назначение лиц, ответственных за организацию обработки и защиту ПДн, и лиц, ответственных за каждую ИСПДн;
  • разработка Политики и других локальных нормативных актов Оператора по вопросам обработки и защиты ПДн;
  • издание и опубликование для неограниченного круга лиц настоящей Политики;
  • ознакомление работников Оператора, непосредственно осуществляющих обработку ПДн, пользователей ИСПДн с положениями законодательства РФ о ПДн, в том числе требованиями к защите ПДн, настоящей Политикой, локальными актами по вопросам обработки ПДн, и/или обучение указанных лиц;
  • инвентаризация ИСПДн, хранилищ и картотек, содержащих ПДн;
  • осуществление внутреннего контроля и аудита соответствия обработки ПДн ФЗ ([1]) и принятым в соответствии с ним нормативным правовым актам Оператора;
  • оценка вреда в соответствии с требованиями [14], который может быть причинен субъектам ПДн в случае нарушения [1], соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных [1];
  • корректировка бизнес-процессов Оператора, связанных с Обработкой ПДн;
  • определение (в соответствии с [6], [7], [8] и [9]) актуальных угроз безопасности ПДн, состава и содержания мер по обеспечению безопасности ПДН при обработке в ИСПДн, обеспечивающих установленные уровни защищенности;
  • моделирование угроз для каждой ИСПДн в соответствии с [8];
  • техническое проектирование и развертывание системы защиты ПДн;
  • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации. При выборе средств защиты информации для системы защиты ПДн Оператор руководствуется нормативными правовыми актами Регуляторов во исполнение ч.4 ст.19 [1];
  • оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
  • учет лиц, допущенных к Обработке ПДн;
  • учет машинных носителей ПДн;
  • установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн;
  • обнаружение фактов несанкционированного доступа к ПДн и принятие мер, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них. Информация о компьютерных инцидентах, повлекших неправомерную или случайную Передачу (предоставление, Распространение, доступ) ПДн, в порядке, установленном совместно ФСБ России, и Роскомнадзором, передается в ФСБ России.
  • обеспечение восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • контроль за принимаемыми мерами по обеспечению безопасности ПДн.
17.2. Все внутренние нормативные и распорядительные документы Оператора, затрагивающие вопросы обработки и защиты ПДн, подлежат обязательному согласованию со Структурными подразделениями, ответственными за организацию Обработки ПДн и обеспечение безопасности ПДн, а также с иными подразделениями, к компетенции которых относятся вопросы, затрагиваемые в рассматриваемых внутренних нормативных и распорядительных документах Оператора.
18. Заключительные положения
18.1. Настоящая Политика вступает в силу с даты ее регистрации.
19. Перечень источников и документов

  1. Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных».
  2. «Трудовой кодекс Российской Федерации» от 30.12.2001 г. № 197-ФЗ
  3. Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
  4. Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
  5. Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24.02.2021 г. № 18 «Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»
  6. Приказ Федеральной службы по техническому и экспортному контролю от 11.02.2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
  7. Приказ Федеральной службы по техническому и экспортному контролю от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
  8. Методический документ «Методика оценки угроз безопасности информации» (утв. Федеральной службой по техническому и экспортному контролю 05.02.2021)
  9. Приказ ФСБ России от 10.07.2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»
  10. Приказ Росархива от 20.12.2019 г. № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»
  11. Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 21.06.2021 г. № 106 «Правила использования информационной системы федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, в том числе порядок взаимодействия субъекта персональных данных с оператором»
  12. «Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27.07.2006 г. № 152-ФЗ „О персональных данных“», опубликованные 31.07.2017 г. Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций
  13. Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27.10.2022 г. № 178 «Требования к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения федерального закона «О персональных данных»
  14. Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 г. № 179 «Требования к подтверждению уничтожения персональных данных»
Приложение 1 – Сведения по вопросам Обработки ПДн
Сведения об Операторе: Акционерное общество «Лаборатория цифрового развития» (АО «Лаборатория Цифрового Развития»); ОГРН 1207700164066; ИНН/КПП 9731063700/770601001; 119180, Россия, г. Москва, вн.тер.г. Муниципальный Округ Якиманка, наб. Якиманская, дом 2; тел. +7 (495) 276-00-51.
АО «Лаборатория Цифрового Развития»
+7 (495) 150 06 83
info@vesna-group.ru
ИНН 9731063700
© VESNA — 2024
ИТ-компания VESNA