1. Общие положения.
1.1. Информация об операторе обработки персональных данных (далее – Оператор).
1.1.1. Наименование Оператора: Индивидуальный предприниматель Смирнов Константин Валентинович (ИНН 745100142740, ОГРНИП 304745111400027).
1.1.2. Реквизиты оператора:
• Юридический адрес: 121374, г. Москва, ул. Багрицкого, д. 6, к. 1, кв. 19
• Почтовый адрес: 454008, г. Челябинск, Свердловский пр., д. 2, оф. 420
• Тел./факс: 8 (917) 766-33-77
• Адрес электронной почты Оператора (E-mail): lm@kvsmirnov.ru
• Сайт Оператора: совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети Интернет по сетевому адресу: https://bizneslager.ru, а также иные интернет-сервисы, которые ссылаются на настоящую Политику, и через которые Оператор собирает персональные данные любых лиц, посещающих указанные сайты.
1.1.3. Ответственный за организацию обработки и обеспечения безопасности персональных данных: Индивидуальный предприниматель Смирнов Константин Валентинович.
1.2. Цель настоящей Политики: выполнение Оператором норм федерального законодательства о персональных данных.
1.3. Задачи настоящей Политики: соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
1.4. Характеристики настоящей Политики:
1.4.1. разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее – Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
1.4.2. действует в отношении всех персональных данных, которые обрабатывает Оператор;
1.4.3. распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики;
1.4.4. во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных, настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора;
1.4.5. разработана в целях обеспечения реализации требований законодательства РФ в области обработки персональных данных субъектов персональных данных;
1.4.6. раскрывает основные категории персональных данных, обрабатываемых оператором, цели, способы и принципы обработки оператором персональных данных, права и обязанности оператора при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых оператором в целях обеспечения безопасности персональных данных при их обработке.
1.5. Основные понятия, используемые в Политике:
1.5.1. персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
1.5.2. оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
1.5.3. обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение;
1.5.4. автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
1.5.5. распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
1.5.6. предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
1.5.7. блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
1.5.8. уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
1.5.9. обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
1.5.10. информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
1.5.11. трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
1.5.12. информационная система персональных данных - совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
1.5.13. пользователь - любой посетитель Сайта Оператора, физическое лицо, имеющее доступ к Сайту, посредством сети Интернет, которое посетило Сайт или совершило на нём предусмотренные функционалом Сайта действия, в том числе просмотр Содержания Сайта, заполнение формы Заявки и т.д.;
1.5.14. персональные данные, размещаемые на сайте Оператора - любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю сайта Оператора;
1.5.15. обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики – данные, служащие для сбора информации о действиях Пользователей на сайте Оператора в целях улучшения качества сайта и его содержания;
1.5.16. куки – это часть данных, автоматически располагающаяся на жестком диске компьютера при каждом посещении Сайта Оператора, это уникальный идентификатор браузера для Сайта Оператора, дающий возможность хранить информацию на сервере и позволяющий осуществлять анализ сайта и оценку результатов.
1.5.17. веб-отметки (тэги» или точная GIF-технология) – технология, помогающая анализировать эффективность Сайта Оператора, например, с помощью измерения числа посетителей сайта или количества «кликов», сделанных на ключевых позициях страницы сайта.
1.5.18. Закон о персональных данных – Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных».
2. Правовые основания обработки персональных данных.
2.1. Политика оператора в области обработки персональных данных определяется следующими основными нормативными правовыми актами РФ, нормативными документами уполномоченных органов государственной власти, а также локальными нормативными актами и документами Оператора:
2.1.1. Конституцией Российской Федерации, принятой всенародным голосованием 12.12.1993.
2.1.2. Трудовым кодексом Российской Федерации от 30.12.2001 №197-ФЗ.
2.1.3. Гражданским кодексом Российской Федерации (часть первая) от 30.11.1994 №51-ФЗ.
2.1.4. Уголовным кодексом Российской Федерации от 13.06.1996 №63-ФЗ.
2.1.5. Кодексом Российской Федерации об административных правонарушениях от 30.12.2001 №195-ФЗ.
2.1.6. Федеральным законом от 19.12.2005 №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
2.1.7. Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных».
2.1.8. Федеральным законом от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации».
2.1.9. Федеральным законом от 01.04.1996 №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования».
2.1.10. Федеральным законом от 22.10.2004 №125-ФЗ «Об архивном деле в Российской Федерации».
2.1.11. Постановлением Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
2.1.12. Постановлением Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
2.1.13. Постановлением Правительства РФ от 06.07.2008 №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
2.1.14. Приказом Федеральной службы по техническому и экспортному контролю от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
2.1.15. Приказом Федеральной службы безопасности Российской Федерации от 10.07.2014 №378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
2.1.16. Иными нормативными правовыми актами Российской Федерации и нормативными документами уполномоченных органов государственной власти Российской Федерации.
2.1.17. Уставом Оператора.
2.1.18. Договорами, заключаемые между Оператором и субъектами персональных данных.
2.1.19. Согласиями субъектов персональных данных на обработку их персональных данных.
2.1.20. Согласиями субъектов персональных данных на обработку их персональных данных, разрешенных субъектом ПД для распространения.
2.1.21. Иными локальными нормативными актами и документами, регулирующими обработку, хранение и защиту Оператором персональных данных.
3. Цели и способы обработки персональных данных.
3.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.2. Оператор обрабатывает персональные данные исключительно в следующих целях:
3.2.1. обеспечение соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
3.2.2. осуществление Оператором своей деятельности в соответствии с уставом;
3.2.3. ведение кадрового делопроизводства;
3.2.4. принятие решения о приеме (либо отказ в приеме) кандидата на вакантную должность на работу;
3.2.5. реализация трудовых отношений с работниками, в том числе исполнение требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и предоставлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование;
3.2.6. реализация программ повышения квалификации и переподготовки работников Оператора;
3.2.7. реализация прав и обязанностей учредителей Оператора;
3.2.8. заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
3.2.9. осуществление гражданско-правовых отношений, реализация договорных отношений с клиентами Оператора;
3.2.10. ведение бухгалтерского учета;
3.2.11. заключения и исполнения договоров, одной из сторон которого является физическое лицо; ¬ рассмотрения возможностей дальнейшего сотрудничества;
3.2.12. ведения переговоров, заключение и исполнение договоров, по которым предоставляются данные работников такого юридического лица для целей исполнения договора по различным направлениям хозяйственной деятельности Оператора.
3.2.13. исполнения требований законодательства Российской Федерации; ¬ предоставления дополнительных льгот работникам Оператора и членам их семей;
3.2.14. ¬ участия учредителей, работников Оператора в корпоративных мероприятиях;
3.2.15. предоставления клиентам Оператора информации по услугам, проходящим акциям и специальным предложениям;
3.2.16. ¬ анализа качества предоставляемого Оператором сервиса и улучшению качества обслуживания;
3.2.17. предоставления доступа пользователю сайта Оператора к сервисам, информации и/или материалам, содержащимся на сайте Оператора.
4. Категории обрабатываемых Оператором персональных данных, источники их получения.
4.1. Персональные данные физических лиц, акцептовавших Оферту Оператора, а также физических лиц, за которых физическое лицо, юридическое лицо или индивидуальный предприниматель, акцептовавшие оферту Оператора, внесли частичную или полную оплату услуг Оператора, а также персональные данные физических лиц, заключивших с Оператором договор на оказание услуг по обеспечению участия в мероприятии – бизнес-лагерь, а также в иных случаях оформления договорных отношений, в результате которых Оператор обязан оказать субъекту персональных данных услуги по обеспечению участия в мероприятии – бизнес-лагерь либо иные услуги, предусмотренные договором.
4.1.1. источники получения данной категории персональных данных – физические лица, вступившие в договорные отношения с Оператором; физические лица, оплату услуг за которых осуществляет иное физическое лицо, юридическое лицо или индивидуальный предприниматель; физическое, юридическое лицо или индивидуальный предприниматель, осуществляющие оплату услуг за иное физическое лицо с согласия такого физического лица.
4.1.2. содержание данной категории персональных данных:
фамилия, имя, отчество;
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации);
номер контактного телефона;
адрес электронной почты;
фотографии и видеозаписи с изображением субъекта персональных данных;
иные персональные данные, необходимые для реализации договорных отношений, которые лицо добровольно сообщает о себе, если их обработка не запрещена законом.
4.1.3. субъект персональных данных свободно, своей волей, в своих интересах, в соответствии со статьей 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», дает Оператору согласие на распространение Оператором его персональных данных (фамилия, имя, возраст, фотографии и видеозаписи с его изображением) с целью размещения информации о нём в рамках реализации договорных отношений на Сайте Оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц к его персональными данным.
4.2. Персональные данные несовершеннолетних лиц в случаях акцептования их законными представителями Оферты на оказание услуг по обеспечению участия Ребёнка Заказчика в мероприятии – бизнес-лагерь или заключения Договора на услуги по обеспечению участия в мероприятии – бизнес-лагерь, а также в иных случаях оформления договорных отношений между законным представителем несовершеннолетнего лица и Оператором в интересах несовершеннолетнего лица:
4.2.1. источники получения данной категории персональных данных – законные представители несовершеннолетних лиц;
4.2 2. содержание данной категории персональных данных:
фамилия, имя, отчество;
дата и год рождения;
место рождения;
гражданство;
серия, номер, наименование органа, выдавшего документ, дата выдачи свидетельства о рождении и (или) паспорта;
адрес места жительства (адрес регистрации);
данные страхового медицинского полиса обучающегося;
сведения о состоянии здоровья;
сведения о полученном образовании;
фотографии и видеозаписи с изображением несовершеннолетнего лица;
иные персональные данные, необходимые для реализации договорных отношений с законными представителями несовершеннолетних, которые законный представитель несовершеннолетнего лица добровольно сообщает о нём, если их обработка не запрещена законом.
4.2.3. законный представитель несовершеннолетнего лица свободно, своей волей, в интересах несовершеннолетнего лица, в соответствии со статьей 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», дает Оператору согласие на распространение Оператором персональных данных несовершеннолетнего лица (фамилия, имя, возраст, фотографии и видеозаписи с изображением несовершеннолетнего лица) с целью размещения информации о нём в рамках реализации договорных отношений на Сайте Оператора, посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц к его персональными данным.
4.3. Персональные данные кандидатов на замещение вакантных должностей:
4.3.1. источники получения данной категории персональных данных – кандидаты на замещение вакантных должностей;
4.3.2. содержание данной категории персональных данных:
фамилия, имя, отчество;
число, месяц, год рождения;
адрес регистрации по месту жительства;
серия, номер, дата и орган выдачи паспорта;
номер контактного телефона;
сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
сведения о трудовой деятельности и о трудовом стаже (место работы, должность, период работы, причины увольнения);
сведения о наличии (отсутствии) судимости;
сведения о состоянии здоровья;
иные персональные данные, необходимые для рассмотрения кандидатуры соискателя на замещение вакантных должностей, которые соискатели добровольно сообщают о себе, в т.ч. в резюме и сопроводительных письмах, если их обработка не запрещена законом.
4.4. Персональные данные работников Оператора:
4.4.1. источники получения данной категории персональных данных – работники Оператора;
4.4.2. содержание данной категории персональных данных:
фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);;
число, месяц, год рождения;
место рождения;
информация о гражданстве;
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации, фактического проживания);
номер контактного телефона;
реквизиты страхового свидетельства государственного пенсионного страхования;
идентификационный номер налогоплательщика;
сведения о трудовой деятельности до приема на работу к Оператору;
информация о трудовом стаже (место работы, должность, период работы, причины увольнения);
сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета) и реквизиты документов воинского учета;
сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании, копия документа об образовании);
сведения о состоянии здоровья;
данные личной медицинской книжки;
сведения об ученой степени;
информация о владении иностранными языками, степень владения;
личные фотографии работников;
сведения о профессиональной переподготовке, повышении квалификации и (или) аттестации;
данные о трудовом договоре (номер трудового договора, дата его заключения, дата начала и дата окончания действия договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, номер и дата изменений к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);
информация о приеме на работу, перемещении по должности, увольнении;
информация об отпусках;
информация о командировках;
семейное положение, наличие детей, родственные связи;
данные о регистрации брака;
сведения об инвалидности;
сведения об удержании алиментов;
сведения о доходе с предыдущего места работы;
иные персональные данные, необходимые для реализации трудовых отношений между работниками и Оператором, которые работники добровольно сообщают о себе, если их обработка не запрещена законом.
4.4.3. работник Оператора свободно, своей волей, в своих интересах, в соответствии со статьей 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», дает Оператору согласие на распространение Оператором его персональных данных (фамилия, имя, возраст, фотографии и видеозаписи с его изображением) с целью размещения информации о нём в рамках реализации трудовых отношений на Сайте Оператора, посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц к его персональными данным.
4.5. Персональные данные членов семьи работников Оператора:
4.5.1. источники получения данной категории персональных данных – работники Оператора;
4.5.2. содержание данной категории персональных данных:
фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);;
число, месяц, год рождения;
место рождения;
степень родства;
иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства, если их обработка не запрещена законом.
4.6. Персональные данные учредителей Оператора:
4.6.1. источники получения данной категории персональных данных – учредители Оператора;
4.6.2. содержание данной категории персональных данных:
фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
число, месяц, год рождения;
место рождения;
информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации, фактического проживания);
номер контактного телефона;
иные персональные данные, необходимые для реализации учредителем Оператора своих прав и обязанностей, которые учредитель добровольно сообщает о себе, если их обработка не запрещена законом.
4.6.3. учредитель Оператора свободно, своей волей, в своих интересах, в соответствии со статьей 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», дает Оператору согласие на распространение Оператором его персональных данных (фамилия, имя, отчество, дата рождения, возраст, фотографии и видеозаписи с его изображением) с целью размещения информации о нём в рамках реализации корпоративных отношений на Сайте Оператора, посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц к его персональными данным.
4.7. Персональные данные представителей и (или) работников клиентов и (или) контрагентов Оператора (юридических лиц и индивидуальных предпринимателей):
4.7.1. источники получения данной категории персональных данных – клиенты и контрагенты Оператора (юридические лица и индивидуальные предприниматели) и (или) представители, работники клиентов и контрагентов Оператора (юридических лиц и индивидуальных предпринимателей);
4.7.2. содержание данной категории персональных данных:
фамилия, имя, отчество;
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации, фактического проживания);
номер контактного телефона;
иные персональные данные, предоставляемые клиентами и контрагентами Оператора (юридическими лицами и индивидуальными предпринимателями) и (или) представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров, если их обработка не запрещена законом.
5. Условия, порядок и основные принципы обработки, передачи и хранения персональных данных.
5.1. Обработка персональных данных осуществляется Оператором на законной и справедливой основе.
5.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
5.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
5.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
5.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры и (или) обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
5.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.8. Обработка персональных данных осуществляется Оператором с использованием средств автоматизации, а также без использования таких средств (на бумажных носителях информации).
5.9. Оператор осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность), а именно фотографии и видеозаписи с изображением субъектов персональных данных.
5.10. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.
5.11. Оператор не производит трансграничную передачу персональных данных, то есть не передает их на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
5.12. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
5.13. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
5.14. Обработка персональных данных осуществляется путем:
5.14.1. получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
5.14.2. получения персональных данных из общедоступных источников;
5.14.3. внесения персональных данных в журналы, реестры и информационные системы Оператора;
5.14.4. использования иных способов обработки персональных данных, не запрещенных законом.
5.15. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
5.16. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 N 18.
5.17. Сроки обработки персональных данных ограничиваются сроками:
5.17.1. хранения документов в архивах в соответствии с федеральным законом от 22.10.2004 №125-ФЗ «Об архивном деле в Российской Федерации»;
5.17.2. достижения целей обработки персональных данных или в случае утраты необходимости достижения цели обработки;
5.17.3. указанными в согласии субъекта персональных данных на их обработку;
5.17.4. отзыва субъектом персональных данных своего согласия на обработку;
5.17.5. выполнения условий договора, стороной которого, выгодоприобретателем или поручителем является субъект персональных данных;
5.17.6. исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных.
5.18. В случае истечения сроков хранения персональных данных они подлежат уничтожению или обезличиванию Оператором в течение пяти рабочих дней с момента наступления соответствующего срока, если иной срок не согласован между Оператором и субъектом персональных данных.
5.19. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.
6. Сведения о третьих лицах, участвующих в обработке персональных данных
6.1. Для достижения целей обработки персональных данных, а также в интересах и с согласия субъектов персональных данных Оператор в ходе своей деятельности предоставляет персональные данные следующим третьим лицам:
6.1.1. Федеральной налоговой службе РФ;
6.1.2. Пенсионному фонду РФ;
6.1.3. Фонду социального страхования РФ;
6.1.4. Федеральной службе государственной статистики РФ;
6.1.5. Фонду обязательного медицинского страхования РФ;
6.1.6. кредитным организациям;
6.1.7. органам государственной власти и местного самоуправления;
6.1.8. лицензирующим и/или контролирующим органам государственной власти и местного самоуправления;
6.1.9. организациям, осуществляющим повышение квалификации и переподготовки работников;
6.1.10. организациям пассажирских и иных грузоперевозок, а также гостиничного сервиса;
6.1.11. иным лицам для осуществления целей, указанных в настоящей Политике.
6.2. По мотивированному запросу исключительно для выполнения возложенных законодательством функций и полномочий персональные данные субъекта персональных данных без согласия могут быть переданы Оператором следующим лицам:
6.2.1. в судебные органы в связи с осуществлением правосудия;
6.2.2. в органы федеральной службы безопасности;
6.2.3. в органы прокуратуры;
6.2.4. в органы полиции;
6.2.5. в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения Оператором.
6.3. Оператор вправе поручить обработку персональных данных субъектов персональных данных третьим лицам на основании заключаемого с этими лицами договора. Лица, осуществляющие обработку персональных данных по поручению Оператора, обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные Законом о персональных данных. Для каждого лица в договоре определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, а также указаны требования к защите обрабатываемых персональных данных.
7. Обеспечение безопасности персональных данных при их обработке.
7.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в их отношении.
7.2. Способы обеспечения безопасности и защиты персональных данных при их обработке:
7.2.1. назначение лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных;
7.2.2. разработка и утверждение локальных актов Оператора в отношении обработки персональных данных;
7.2.3. обеспечение доступа работников Оператора к обрабатываемым персональным данным только в соответствии с их должностными обязанностями и требованиями внутренних организационно-распорядительных документов Оператора;
7.2.4. осуществление внутреннего контроля и аудита соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, локальным актам;
7.2.5. ознакомление под роспись работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных и проведение обучения указанных сотрудников;
7.2.6. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных Оператора, формирование на их основе моделей угроз;
7.2.7. применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
7.2.8. установление разрешительной системы допуска пользователей к информационной системе и связанным с ее использованием работам и документам;
7.2.9. ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся электронные автономные и бумажные носители персональных данных;
7.2.10. обеспечение физической безопасности помещений и технических средств обработки персональных данных, пропускного режима, охраны, сигнализации;
7.2.11. учет и хранение съемных автономных электронных носителей информации, содержащих персональные данные, резервное копирование персональных данных;
7.2.12. установка и обновление средств антивирусной защиты, межсетевых экранов, средств парольной защиты на технических средствах, применяемых при обработке персональных данных;
7.2.13. получение согласия субъектов персональных данных на их обработку;
7.2.14. получение согласия субъектов персональных данных на их распространение;
7.2.15. размещение на сайте оператора настоящей Политики;
7.2.16. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
7.2.17. учет машинных носителей персональных данных;
7.2.18. выявление фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
7.2.19. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
7.2.20. установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
7.2.21. хранение персональных данных на бумажных носителях в охраняемых или запираемых помещениях, сейфах, шкафах;
7.2.22. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационной системы персональных данных;
7.2.23. организация порядка уничтожения информации, содержащей персональные данные;
7.2.24. при обработке персональных данных, осуществляемой без использования средств автоматизации, выполнение требований, установленных постановлением Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
7.2.25. при обработке персональных данных, осуществляемой с использованием средств автоматизации, выполнение требований, установленных постановлением Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
7.2.26. иные способы обеспечения безопасности персональных данных при их обработке, необходимые для обеспечения их защиты.
7.3. Оператор несет ответственность за нарушение обязательств по обеспечению безопасности и конфиденциальности персональных данных при их обработке в соответствии с законодательством РФ.
8. Права субъектов персональных данных.
8.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
8.1.1. подтверждение факта обработки персональных данных Оператором;
8.1.2. правовые основания и цели обработки персональных данных;
8.1.3. цели и применяемые Оператором способы обработки персональных данных;
8.1.4. наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
8.1.5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
8.1.6. сроки обработки персональных данных, в том числе сроки их хранения;
8.1.7. порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом;
8.1.8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
8.1.9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
8.1.10. иные сведения, предусмотренные Законом о персональных данных и другими федеральными законами.
8.2. Субъект персональных данных имеет право:
8.2.1. требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
8.2.2. в любое время отозвать свое согласие на обработку персональных данных, направив электронное сообщение по адресу электронной почты Оператора, указанному в настоящей Политике, либо направив письменное уведомление по почтовому адресу Оператора, указанному в настоящей Политике. После получения такого сообщения обработка персональных данных субъекта персональных будет прекращена, а его персональные данные будут удалены, за исключением случаев, когда обработка может быть продолжена в соответствии с законодательством;
8.2.3. требовать устранения неправомерных действий Оператора в отношении его персональных данных;
8.2.4. обжаловать неправомерные действия или бездействия Оператора в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке;
8.2.5. на защиту своих прав и законных интересов в области обработки персональных данных Оператором, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
8.2.6. на реализацию иных прав, предусмотренных действующим законодательством Российской Федерации;
8.2.7. выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг;
8.2.8. обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.
8.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
8.4. Субъекты персональных данных, чьи персональные данные обрабатываются Оператором, имеют право получить разъяснения по вопросам обработки своих персональных данных, обратившись лично или через своего представителя при условии надлежащим образом оформленных полномочий к Оператору или направив соответствующий письменный запрос по адресу электронной почты Оператора, указанный в настоящей Политике.
8.5. Оператор обязуется рассмотреть и направить ответ на поступивший запрос субъекту персональных данных в сроки, установленные законодательством Российской Федерации.
9. Права и обязанности оператора персональных данных.
9.1. Оператор персональных данных имеет право:
9.1.1. самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
9.1.2. поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, в том числе соблюдать конфиденциальность персональных данных, не передавать персональные данные третьим лицам, действовать строго в рамках поручения Оператора;
9.1.3. в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных;
9.1.4. предоставлять персональные данные субъектов персональных данных третьим лицам, если это предусмотрено действующим законодательством, в том числе в налоговые, правоохранительные органы и др.;
9.1.5. отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством РФ;
9.1.6. использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством РФ.
9.2. Оператор персональных данных обязан:
9.2.1. организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
9.2.2. отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
9.2.3. при сборе персональных данных предоставить субъекту персональных данных по его просьбе информацию, предусмотренную федеральным законом и настоящей Политикой;
9.2.4. при сборе персональных данных, в том числе посредством сети Интернет, обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации;
9.2.5. принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами;
9.2.6. принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
9.2.7. сообщать в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса;
9.2.8. устранять нарушения законодательства, допущенные при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных;
9.2.9. в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
9.2.10. проводить оценку возможного вреда субъекту персональных данных в информационной системе персональных данных, в соответствии с требованиями законодательства РФ;
9.2.11. уведомить уполномоченный орган по защите прав субъектов персональных данных в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом:
1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии);
9.2.12. выполнять иные обязанности, предусмотренные Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами.
10. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
10.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.
10.2. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
10.3. Запрос должен содержать:
10.3.1. номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
10.3.2. сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
10.3.3. подпись субъекта персональных данных или его представителя.
10.4. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
10.5. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
10.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
10.7. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
10.8. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
10.9. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
10.10. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
10.10.1. иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
10.10.2. оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
10.10.3. иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
11. Особенности обработки и защиты персональных данных, собираемых Оператором с использованием телекоммуникационной сети Интернет
11.1. Оператор обрабатывает и защищает персональные данные, поступающие от субъекта персональных данных - Пользователя Cайта Оператора путем заполнения субъектом персональных данных - Пользователем Cайта Оператора соответствующих форм на Сайте Оператора и посредством направления электронных писем на адрес электронной почты Оператора.
11.2. Персональные данные субъекта персональных данных - Пользователя Cайта, которые Оператор обрабатывает посредством Сайта: фамилия, имя, номер контактного телефона, адрес электронной почты, которые субъект персональных данных - Пользователь Cайта самостоятельно, свободно, своей волей и в своем интересе вводит на Сайте посредством заполнения соответствующих форм.
11.3. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору посредством Сайта, Пользователь выражает свое согласие с настоящей Политикой, Пользовательским соглашением, а также с обработкой своих персональных данных. Также согласие субъекта персональных данных - Пользователя Сайта фиксируется путём активация субъектом персональных данных - Пользователем Сайта специального флажка - чекбокса напротив Пользовательского соглашения и Политики в отношении обработки персональных данных, размещенных на сайте Оператора.
11.4. Оператор также посредством сайта Оператора автоматически собирает информацию, не являющуюся персональными данными: ¬ информацию об интересах пользователей на Сайте на основе введенных поисковых запросов пользователей Сайта с целью предоставления актуальной информации клиентам Оператора при использовании Сайта, а также обобщения и анализа информации, о том какие разделы Сайта и услуги пользуются наибольшим спросом у клиентов Оператора; ¬ Оператор обрабатывет и хранит поисковые запросы пользователей Сайта с целью обобщения и создания клиентской статистики об использовании разделов Сайта. Продолжая пользоваться Сайтом Оператора, Пользователь соглашается со сбором Оператором вышеуказанной информации.
11.5. Оператор автоматически получает некоторые виды информации, получаемой в процессе взаимодействия пользователей с Cайтом, переписки по электронной почте: технологии и сервисы, такие как веб-протоколы, куки, веб-отметки и т.п. Продолжая пользоваться Сайтом Оператора, Пользователь соглашается с использованием веб-протоколов, куки, веб-отметок и т.п. Также согласие субъекта персональных данных - Пользователя Сайта фиксируется путём нажатия субъектом персональных данных - Пользователем Сайта специальной кнопки во всплывающем окне при посещении Сайта Оператора о получении и принятии информации об использовании Оператором веб-протоколов, куки, веб-отметок и т.п.
11.6. Субъект персональных данных - Пользователь Сайта в случае несогласия с настоящей Политикой и (или) с Пользовательским соглашением обязан немедленно прекратить использование Сайта и покинуть его.
12. Заключительные положения.
12.1. Настоящая Политика является локальным нормативным актом Оператора, общедоступным документом, размещенным на сайте Оператора.
12.2. Контроль исполнения требований настоящей Политики осуществляет Генеральный директор Оператора.
12.3. Настоящая Политика подлежит изменению, дополнению в случае изменения законодательства Российской Федерации в области обработки и защиты персональных данных, получения Оператором предписаний уполномоченного органа на устранение несоответствий, затрагивающих область действия Политики, по решению руководства Оператора при изменении целей обработки персональных данных, при появлении необходимости в изменении процесса обработки персональных данных, связанной с деятельностью Оператора и иных случаях.
12.4. Оператор обязан не реже одного раза в год производить анализ соответствия настоящей Политики действующему законодательству Российской Федерации, а также целям и условиям обработки и защиты персональных данных и при необходимости вносить в Политику соответствующие изменения.
12.5. Любые изменения и дополнения, внесенные в настоящую Политику, вступают в силу со дня утверждения Политики в отношении обработки персональных данных в новой редакции руководителем Оператора, опубликования новой редакции Политики на сайте Оператора.
