Политика Акционерного общества «Цифровое Телевидение» в отношении обработки персональных данных
(редакция от 05.09.2023 г.)
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящий документ определяет политику Акционерного общества «Цифровое Телевидение» (ОГРН 1137746350642, адрес места нахождения: 125167, г. Москва, Ленинградский пр-т, 37А, корп.4, этаж 10, помещение XXII, комната 1), далее также – Оператор, в отношении обработки персональных данных, далее - Политика.
Политика разработана в соответствии с требованиями Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных Оператором.
Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в Акционерном обществе «Цифровое Телевидение» вопросы обработки персональных данных его работников и других субъектов персональных данных.
1.2. Для целей настоящей Политики используются следующие понятия:
ФЗ «О персональных данных» - означает Федеральный закон Российской Федерации от 27.07.2006 N 152-ФЗ «О персональных данных» со всеми изменениями и дополнениями.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном ФЗ «О персональных данных»;
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; Субъект – субъект персональных данных.
Работник – физическое лицо, состоящее в трудовых отношениях с Оператором.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.3. Права и обязанности Оператора и субъектов персональных данных
1.3.1. Субъект персональных данных имеет право:
1.3.1.1. отзывать согласие на обработку своих персональных данных;
1.3.1.2. вносить, дополнять или изменять обрабатываемые персональных данных;
1.3.1.3. требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
1.3.1.4. на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
(1) подтверждение факта обработки персональных данных Оператором;
(2) правовые основания и цели обработки персональных данных;
(3) цели и применяемые Оператором способы обработки персональных данных;
(4) наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
(5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен ФЗ «О персональных данных»;
(6) сроки обработки персональных данных, в том числе сроки их хранения;
(7) порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ «О персональных данных»;
(8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
(9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
(9.1) информацию о способах исполнения Оператором обязанностей, установленных статьей 18.1 ФЗ «О персональных данных»;
(10) иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами.
1.3.1.5. на обращения к Оператору и направление ему запросов;
1.3.1.6. принятие предусмотренных законом мер по защите своих прав;
1.3.1.7. на осуществление иных прав, предусмотренных законодательством Российской Федерации.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами Российской Федерации.
В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
Субъект персональных данных или его законный представитель обязуется предоставлять персональные данные, соответствующие действительности.
Для получения информации, касающейся обработки персональных данных (п. 1.3.1.4. настоящей Политики), субъект персональных данных в соответствии с условиями, установленными ст. 14 ФЗ «О персональных данных», может отправить письменный запрос по адресу места нахождения Оператора или запрос в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации.
1.3.2. Оператор обязан:
1.3.2.1. при сборе персональных данных предоставить субъекту персональных данных по его просьбе информацию об обработке персональных данных, предусмотренную п. 1.3.1.4. настоящей Политики, либо на законных основаниях предоставить письменный мотивированный отказ, содержащий ссылку на положение части 8 статьи 14 ФЗ «О персональных данных»;
1.3.2.2. уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных;
1.3.2.3. при отказе в предоставлении персональных данных разъяснить субъекту последствия такого отказа;
1.3.2.4. опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике;
1.3.2.5. принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
1.3.2.6. в срок, не превышающий 7 (Семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, внести в них необходимые изменения. В срок, не превышающий 7 (Семи) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы;
1.3.2.7. в случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных;
1.3.2.8. в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва;
1.3.2.9. в случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор обязан в срок, не превышающий 10 (Десяти) рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 ФЗ «О персональных данных». Указанный срок может быть продлен, но не более чем на 5 (Пять) рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
1.3.2.10. в случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3 - 5.1 статьи 21 Федерального закона, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем 6 (Шесть) месяцев, если иной срок не установлен федеральными законами.
1.3.2.11. исполнять иные обязанности, предусмотренные законодательством Российской Федерации.
1.4. Принципы обработки персональных данных
Обработка персональных данных осуществляется Оператором в соответствии с принципами, установленными ФЗ «О персональных данных»:
1.4.1. обработка персональных данных осуществляется на законной и справедливой основе;
1.4.2. обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
1.4.3. не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
1.4.4. обработке подлежат только те персональные данные, которые отвечают целям их обработки;
1.4.5. содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям обработки;
1.4.6. при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;
1.4.7. хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, или до отзыва субъектом персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
1.1. Настоящий документ определяет политику Акционерного общества «Цифровое Телевидение» (ОГРН 1137746350642, адрес места нахождения: 125167, г. Москва, Ленинградский пр-т, 37А, корп.4, этаж 10, помещение XXII, комната 1), далее также – Оператор, в отношении обработки персональных данных, далее - Политика.
Политика разработана в соответствии с требованиями Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных Оператором.
Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в Акционерном обществе «Цифровое Телевидение» вопросы обработки персональных данных его работников и других субъектов персональных данных.
1.2. Для целей настоящей Политики используются следующие понятия:
ФЗ «О персональных данных» - означает Федеральный закон Российской Федерации от 27.07.2006 N 152-ФЗ «О персональных данных» со всеми изменениями и дополнениями.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном ФЗ «О персональных данных»;
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; Субъект – субъект персональных данных.
Работник – физическое лицо, состоящее в трудовых отношениях с Оператором.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.3. Права и обязанности Оператора и субъектов персональных данных
1.3.1. Субъект персональных данных имеет право:
1.3.1.1. отзывать согласие на обработку своих персональных данных;
1.3.1.2. вносить, дополнять или изменять обрабатываемые персональных данных;
1.3.1.3. требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
1.3.1.4. на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
(1) подтверждение факта обработки персональных данных Оператором;
(2) правовые основания и цели обработки персональных данных;
(3) цели и применяемые Оператором способы обработки персональных данных;
(4) наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
(5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен ФЗ «О персональных данных»;
(6) сроки обработки персональных данных, в том числе сроки их хранения;
(7) порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ «О персональных данных»;
(8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
(9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
(9.1) информацию о способах исполнения Оператором обязанностей, установленных статьей 18.1 ФЗ «О персональных данных»;
(10) иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами.
1.3.1.5. на обращения к Оператору и направление ему запросов;
1.3.1.6. принятие предусмотренных законом мер по защите своих прав;
1.3.1.7. на осуществление иных прав, предусмотренных законодательством Российской Федерации.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами Российской Федерации.
В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
Субъект персональных данных или его законный представитель обязуется предоставлять персональные данные, соответствующие действительности.
Для получения информации, касающейся обработки персональных данных (п. 1.3.1.4. настоящей Политики), субъект персональных данных в соответствии с условиями, установленными ст. 14 ФЗ «О персональных данных», может отправить письменный запрос по адресу места нахождения Оператора или запрос в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации.
1.3.2. Оператор обязан:
1.3.2.1. при сборе персональных данных предоставить субъекту персональных данных по его просьбе информацию об обработке персональных данных, предусмотренную п. 1.3.1.4. настоящей Политики, либо на законных основаниях предоставить письменный мотивированный отказ, содержащий ссылку на положение части 8 статьи 14 ФЗ «О персональных данных»;
1.3.2.2. уведомлять субъекта персональных данных об обработке персональных данных в том случае, если персональные данные были получены не от субъекта персональных данных;
1.3.2.3. при отказе в предоставлении персональных данных разъяснить субъекту последствия такого отказа;
1.3.2.4. опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике;
1.3.2.5. принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
1.3.2.6. в срок, не превышающий 7 (Семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, внести в них необходимые изменения. В срок, не превышающий 7 (Семи) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы;
1.3.2.7. в случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных;
1.3.2.8. в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва;
1.3.2.9. в случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор обязан в срок, не превышающий 10 (Десяти) рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 ФЗ «О персональных данных». Указанный срок может быть продлен, но не более чем на 5 (Пять) рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
1.3.2.10. в случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3 - 5.1 статьи 21 Федерального закона, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем 6 (Шесть) месяцев, если иной срок не установлен федеральными законами.
1.3.2.11. исполнять иные обязанности, предусмотренные законодательством Российской Федерации.
1.4. Принципы обработки персональных данных
Обработка персональных данных осуществляется Оператором в соответствии с принципами, установленными ФЗ «О персональных данных»:
1.4.1. обработка персональных данных осуществляется на законной и справедливой основе;
1.4.2. обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
1.4.3. не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
1.4.4. обработке подлежат только те персональные данные, которые отвечают целям их обработки;
1.4.5. содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям обработки;
1.4.6. при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки;
1.4.7. хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, или до отзыва субъектом персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Персональные данные обрабатываются Оператором в следующих целях:
2.1. оформление трудовых отношений,
2.2. ведение кадрового и бухгалтерского учета,
2.3. обеспечение личной безопасности работников,
2.4. контроля качества и количества выполняемой работы,
2.5. заключение, изменение, расторжение договоров добровольного медицинского страхования работников и родственников работников,
2.6. рассмотрение резюме и подбор кандидатов на должность,
2.7. ведения кадрового резерва,
2.8. ведение финансово-хозяйственной деятельности Оператора,
2.9. проведения конкурсов,
2.10. использования сайтов,
2.11. для направления персональных рекламных и маркетинговых материалов.
Персональные данные обрабатываются Оператором в следующих целях:
2.1. оформление трудовых отношений,
2.2. ведение кадрового и бухгалтерского учета,
2.3. обеспечение личной безопасности работников,
2.4. контроля качества и количества выполняемой работы,
2.5. заключение, изменение, расторжение договоров добровольного медицинского страхования работников и родственников работников,
2.6. рассмотрение резюме и подбор кандидатов на должность,
2.7. ведения кадрового резерва,
2.8. ведение финансово-хозяйственной деятельности Оператора,
2.9. проведения конкурсов,
2.10. использования сайтов,
2.11. для направления персональных рекламных и маркетинговых материалов.
3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
Правовым основанием обработки персональных данных также являются:
Для цели обработки, указанной в п. 2.1. настоящей Политики, Оператор обрабатывает персональные данные субъекта, перечисленные в п. 4.2.1., 4.2.2. настоящей Политики; правовым основанием обработки персональных данных являются федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора, согласие на обработку персональных данных, договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
Для цели обработки, указанной в п. 2.2. настоящей Политики, Оператор обрабатывает персональные данные субъекта, перечисленные в п. 4.2.1., 4.2.2. настоящей Политики; правовым основанием обработки персональных данных являются федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора, согласие на обработку персональных данных, договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
Для цели обработки, указанной в п. 2.3. настоящей Политики, Оператор обрабатывает персональные данные субъекта, перечисленные в п. (1) п. 4.2.1. настоящей Политики; правовым основанием обработки персональных данных является согласие на обработку персональных данных.
Для цели обработки, указанной в п. 2.4. настоящей Политики, Оператор обрабатывает персональные данные субъекта, перечисленные в п. (1) п. 4.2.1. настоящей Политики; правовым основанием обработки персональных данных являются федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
Для цели обработки, указанной в п. 2.5. настоящей Политики, Оператор обрабатывает персональные данные субъекта, перечисленные в п. (1) – (11) п. 4.2.1., п. 4.2.2. настоящей Политики; правовым основанием обработки персональных данных является согласие на обработку персональных данных.
Для цели обработки, указанной в п. 2.6. настоящей Политики, Оператор обрабатывает персональные данные субъекта, перечисленные в п. 4.2.3. настоящей Политики; правовым основанием обработки персональных данных является согласие на обработку персональных данных.
Для цели обработки, указанной в п. 2.7. настоящей Политики, Оператор обрабатывает персональные данные субъекта, перечисленные в п. (1) – (11) п. 4.2.1., 4.2.3. настоящей Политики; правовым основанием обработки персональных данных является согласие на обработку персональных данных.
Для цели обработки, указанной в п. 2.8. настоящей Политики, Оператор обрабатывает персональные данные субъекта, перечисленные в п. 4.2.4., 4.2.5. настоящей Политики; правовым основанием обработки персональных данных является договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем, согласие на обработку персональных данных.
Для цели обработки, указанной в п. 2.9. настоящей Политики, Оператор обрабатывает персональные данные субъекта, перечисленные в п. 4.2.6. настоящей Политики; правовым основанием обработки персональных данных является согласие на обработку персональных данных, договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
Для цели обработки, указанной в п. 2.10. настоящей Политики, Оператор обрабатывает персональные данные субъекта, перечисленные в п. 4.2.7. настоящей Политики; правовым основанием обработки персональных данных является согласие на обработку персональных данных, договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
Для цели обработки, указанной в п. 2.11. настоящей Политики, Оператор обрабатывает персональные данные субъектов, перечисленные в п. (1), (5) п. 4.2.4., п. (1), (3) п. 4.2.6., п. (1) п. 4.2.7. настоящей Политики; правовым основанием обработки персональных данных является согласие на обработку персональных данных.
Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации; Трудовой кодекс Российской Федерации; Налоговый кодекс Российской Федерации;
- Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 №
- 149-ФЗ; Федеральный закон от 06.04.2011 N 63-ФЗ «Об электронной подписи»;
- Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства Российской Федерации от 15 сентября 2008 года №687;
- Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119; иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
Правовым основанием обработки персональных данных также являются:
- Устав и локальные нормативные акты Оператора;
- договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем; согласие на обработку персональных данных
Для цели обработки, указанной в п. 2.1. настоящей Политики, Оператор обрабатывает персональные данные субъекта, перечисленные в п. 4.2.1., 4.2.2. настоящей Политики; правовым основанием обработки персональных данных являются федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора, согласие на обработку персональных данных, договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
Для цели обработки, указанной в п. 2.2. настоящей Политики, Оператор обрабатывает персональные данные субъекта, перечисленные в п. 4.2.1., 4.2.2. настоящей Политики; правовым основанием обработки персональных данных являются федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора, согласие на обработку персональных данных, договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
Для цели обработки, указанной в п. 2.3. настоящей Политики, Оператор обрабатывает персональные данные субъекта, перечисленные в п. (1) п. 4.2.1. настоящей Политики; правовым основанием обработки персональных данных является согласие на обработку персональных данных.
Для цели обработки, указанной в п. 2.4. настоящей Политики, Оператор обрабатывает персональные данные субъекта, перечисленные в п. (1) п. 4.2.1. настоящей Политики; правовым основанием обработки персональных данных являются федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
Для цели обработки, указанной в п. 2.5. настоящей Политики, Оператор обрабатывает персональные данные субъекта, перечисленные в п. (1) – (11) п. 4.2.1., п. 4.2.2. настоящей Политики; правовым основанием обработки персональных данных является согласие на обработку персональных данных.
Для цели обработки, указанной в п. 2.6. настоящей Политики, Оператор обрабатывает персональные данные субъекта, перечисленные в п. 4.2.3. настоящей Политики; правовым основанием обработки персональных данных является согласие на обработку персональных данных.
Для цели обработки, указанной в п. 2.7. настоящей Политики, Оператор обрабатывает персональные данные субъекта, перечисленные в п. (1) – (11) п. 4.2.1., 4.2.3. настоящей Политики; правовым основанием обработки персональных данных является согласие на обработку персональных данных.
Для цели обработки, указанной в п. 2.8. настоящей Политики, Оператор обрабатывает персональные данные субъекта, перечисленные в п. 4.2.4., 4.2.5. настоящей Политики; правовым основанием обработки персональных данных является договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем, согласие на обработку персональных данных.
Для цели обработки, указанной в п. 2.9. настоящей Политики, Оператор обрабатывает персональные данные субъекта, перечисленные в п. 4.2.6. настоящей Политики; правовым основанием обработки персональных данных является согласие на обработку персональных данных, договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
Для цели обработки, указанной в п. 2.10. настоящей Политики, Оператор обрабатывает персональные данные субъекта, перечисленные в п. 4.2.7. настоящей Политики; правовым основанием обработки персональных данных является согласие на обработку персональных данных, договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
Для цели обработки, указанной в п. 2.11. настоящей Политики, Оператор обрабатывает персональные данные субъектов, перечисленные в п. (1), (5) п. 4.2.4., п. (1), (3) п. 4.2.6., п. (1) п. 4.2.7. настоящей Политики; правовым основанием обработки персональных данных является согласие на обработку персональных данных.
4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 2 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. 4.2. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных.
4.2.1. Работники Оператора:
(1) фамилия, имя, отчество;
(2) пол;
(3) гражданство;
(4) дата, месяц, год и место рождения;
(5) изображение (фотография);
(6) сведения о документе, удостоверяющем личность (паспортные данные);
(7) контактные данные (мобильный номер, адрес прописки, адрес проживания, адрес электронной почты);
(8) номер ИНН (индивидуальный номер налогоплательщика);
(9) страховой номер индивидуального лицевого счета (СНИЛС);
(10) сведения об образовании, профессии, квалификации, профессиональной подготовке и повышении квалификации;
(11) семейное положение (включая данные о регистрации брака), имущественное положение, доходы, наличие детей, родственные связи;
(12) данные военного билета, сведения о воинской обязанности;
(13) сведения о трудовом стаже,
(14) Сведения о приеме / увольнении / кадровом перемещении,
(15) Сведения о характере работы, сведения о должности,
(16) Сведения об окладе,
(17) Сведения о поощрениях и удержаниях,
(18) Сведения об инвалидности и временной нетрудоспособности,
(19) Сведения о банковском счете, сведения о платежных картах,
(20) сведения о выплатах в ФНС России и ФСС России, в пенсионный фонды,
(21) сведения о пенсионном страховании,
(22) сведения о социальных льготах,
(23) сведения о статусе налогоплательщика (резидент / нерезидент),
(24) сведения о сумме страховых взносов,
(25) сведения о суммах дохода, о суммах налога на доходы,
4.2.2. близкие родственники работников Оператора:
(1) фамилия, имя, отчество;
(2) степень родства;
(3) возраст, год рождения;
(4) иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
4.2.3. соискатели:
(1) фамилия, имя, отчество;
(2) гражданство;
(3) дата, месяц, год и место рождения;
(4) контактные данные (мобильный номер, адрес прописки, адрес проживания, адрес электронной почты);
(5) сведения о документе, удостоверяющем личность
(6) сведения об образовании, опыте работы, квалификации;
(7) сведения о приеме / увольнении / кадровом перемещении и иные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.
4.2.4. физические лица, являющиеся стороной, выгодоприобретателем или поручителем по договору с Оператором:
(1) фамилия, имя, отчество;
(2) дата рождения;
(3) паспортные данные;
(4) адрес;
(5) контактные данные (мобильный номер, адрес прописки, адрес проживания, адрес электронной почты);
(6) сведения о документе, удостоверяющем личность;
(7) номер ИНН (индивидуальный номер налогоплательщика);
(8) номер расчетного счета;
(9) иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.
4.2.5. физические лица, которым оформляют пропуска по адресу места нахождения Оператора:
(1) фамилия, имя.
4.2.6. физические лица, принимающие участие в конкурсах, законные представители участников конкурсов, проводимых Оператором: (1) фамилия, имя, отчество;
(2) возраст;
(3) контактные данные (мобильный номер, адрес прописки, адрес проживания, адрес электронной почты); (4) данные свидетельства о рождении
(6) сведения о документе, удостоверяющем личность;
(7) номер ИНН (индивидуальный номер налогоплательщика);
(8) сведения о банковском счете, сведения о платежных картах.
4.2.7. Пользователи сайтов, администрируемых Оператором:
(1) персональная информация, которую пользователь сайта предоставляет о себе самостоятельно при регистрации (создании учетной записи) или в процессе использования сайта, а именно фамилия, имя, отчество, контактные данные (мобильный номер, адрес электронной почты), возраст;
(2) данные, которые автоматически передаются сервисам сайта в процессе их использования с помощью установленного на устройстве пользователя программного обеспечения, в том числе IP-адрес, данные файлов cookie, информация о браузере пользователя (или иной программе, с помощью которой осуществляется доступ к сервисам), технические характеристики оборудования и программного обеспечения, используемых пользователем, дата и время доступа к сервисам, адреса запрашиваемых страниц и иная подобная информация;
(3) иная информация о пользователе, обработка которой предусмотрена пользовательским соглашением (соглашением об использовании сайта).
4.3. В случаях, предусмотренных законодательством, субъект персональных данных принимает решение о предоставлении его персональных данных Оператору и дает конкретное, предметное, информированное, сознательное и однозначное согласие на их обработку свободно, своей волей и в своем интересе.
4.4. Оператор обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.
4.5. Обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, Оператор не осуществляет.
4.6. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.
4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 2 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. 4.2. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных.
4.2.1. Работники Оператора:
(1) фамилия, имя, отчество;
(2) пол;
(3) гражданство;
(4) дата, месяц, год и место рождения;
(5) изображение (фотография);
(6) сведения о документе, удостоверяющем личность (паспортные данные);
(7) контактные данные (мобильный номер, адрес прописки, адрес проживания, адрес электронной почты);
(8) номер ИНН (индивидуальный номер налогоплательщика);
(9) страховой номер индивидуального лицевого счета (СНИЛС);
(10) сведения об образовании, профессии, квалификации, профессиональной подготовке и повышении квалификации;
(11) семейное положение (включая данные о регистрации брака), имущественное положение, доходы, наличие детей, родственные связи;
(12) данные военного билета, сведения о воинской обязанности;
(13) сведения о трудовом стаже,
(14) Сведения о приеме / увольнении / кадровом перемещении,
(15) Сведения о характере работы, сведения о должности,
(16) Сведения об окладе,
(17) Сведения о поощрениях и удержаниях,
(18) Сведения об инвалидности и временной нетрудоспособности,
(19) Сведения о банковском счете, сведения о платежных картах,
(20) сведения о выплатах в ФНС России и ФСС России, в пенсионный фонды,
(21) сведения о пенсионном страховании,
(22) сведения о социальных льготах,
(23) сведения о статусе налогоплательщика (резидент / нерезидент),
(24) сведения о сумме страховых взносов,
(25) сведения о суммах дохода, о суммах налога на доходы,
4.2.2. близкие родственники работников Оператора:
(1) фамилия, имя, отчество;
(2) степень родства;
(3) возраст, год рождения;
(4) иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
4.2.3. соискатели:
(1) фамилия, имя, отчество;
(2) гражданство;
(3) дата, месяц, год и место рождения;
(4) контактные данные (мобильный номер, адрес прописки, адрес проживания, адрес электронной почты);
(5) сведения о документе, удостоверяющем личность
(6) сведения об образовании, опыте работы, квалификации;
(7) сведения о приеме / увольнении / кадровом перемещении и иные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.
4.2.4. физические лица, являющиеся стороной, выгодоприобретателем или поручителем по договору с Оператором:
(1) фамилия, имя, отчество;
(2) дата рождения;
(3) паспортные данные;
(4) адрес;
(5) контактные данные (мобильный номер, адрес прописки, адрес проживания, адрес электронной почты);
(6) сведения о документе, удостоверяющем личность;
(7) номер ИНН (индивидуальный номер налогоплательщика);
(8) номер расчетного счета;
(9) иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.
4.2.5. физические лица, которым оформляют пропуска по адресу места нахождения Оператора:
(1) фамилия, имя.
4.2.6. физические лица, принимающие участие в конкурсах, законные представители участников конкурсов, проводимых Оператором: (1) фамилия, имя, отчество;
(2) возраст;
(3) контактные данные (мобильный номер, адрес прописки, адрес проживания, адрес электронной почты); (4) данные свидетельства о рождении
(6) сведения о документе, удостоверяющем личность;
(7) номер ИНН (индивидуальный номер налогоплательщика);
(8) сведения о банковском счете, сведения о платежных картах.
4.2.7. Пользователи сайтов, администрируемых Оператором:
(1) персональная информация, которую пользователь сайта предоставляет о себе самостоятельно при регистрации (создании учетной записи) или в процессе использования сайта, а именно фамилия, имя, отчество, контактные данные (мобильный номер, адрес электронной почты), возраст;
(2) данные, которые автоматически передаются сервисам сайта в процессе их использования с помощью установленного на устройстве пользователя программного обеспечения, в том числе IP-адрес, данные файлов cookie, информация о браузере пользователя (или иной программе, с помощью которой осуществляется доступ к сервисам), технические характеристики оборудования и программного обеспечения, используемых пользователем, дата и время доступа к сервисам, адреса запрашиваемых страниц и иная подобная информация;
(3) иная информация о пользователе, обработка которой предусмотрена пользовательским соглашением (соглашением об использовании сайта).
4.3. В случаях, предусмотренных законодательством, субъект персональных данных принимает решение о предоставлении его персональных данных Оператору и дает конкретное, предметное, информированное, сознательное и однозначное согласие на их обработку свободно, своей волей и в своем интересе.
4.4. Оператор обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.
4.5. Обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, Оператор не осуществляет.
4.6. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.
5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. При обработке персональных данных Оператор осуществляет следующие действия или совокупность действий с использование средств автоматизации или без использования таких средств с персональными данными включая: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
5.2. Конфиденциальность персональных данных. Правообладатель и иные лица, получившие доступ к персональным данным Пользователя, обязуются не раскрывать третьим лицам и не распространять персональные данные без согласия Пользователя, если иное не предусмотрено Федеральным законом.
5.3. Обработка персональных данных осуществляется Оператором следующими способами:
5.3.1. неавтоматизированная обработка персональных данных;
Персональные данные должны обособляться от иной информации путем фиксации их на отдельных материальных носителях, в специальных разделах.
При фиксации персональных данных на материальных носителях не допускается фиксации на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы.
При работе с документами, содержащими персональные данные, работник Оператора обязан исключить возможность ознакомления, просмотра этих документов лицами, не допущенными к работе с ними (в том числе другими работниками своего структурного подразделения).
При выносе документов, содержащих персональные данные, за пределы территории Оператора по служебной необходимости работник должен принять все возможные меры, исключающие утрату (утерю, хищение) таких документов.
5.3.2. автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
Обработка персональных данных, осуществляемая с использованием средств автоматизации, проводится при условии выполнения следующих действий: Оператор проводит технические мероприятия, направленные на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации; защитные инструменты настроены на своевременное обнаружение фактов несанкционированного доступа к персональным данным; технические средства автоматизированной обработки персональных данных изолированы в целях недопущения воздействия на них, в результате которого может быть нарушено их функционирование; Оператор производит резервное копирование данных, с тем, чтобы иметь возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; осуществляет постоянный контроль за обеспечением уровня защищенности персональных данных.
5.3.3. смешанная обработка персональных данных.
5.4. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 ФЗ «О персональных данных».
Персональные данные могут быть получены Оператором от лица, не являющегося субъектом персональных данных, при условии предоставления Оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 ФЗ «О персональных данных».
5.5. Если персональные данные получены не от Пользователя, Правообладатель, за исключением случаев, предусмотренных ч. 4 статьи 18 Федерального закона, до начала обработки таких персональных данных обязан предоставить Пользователю информацию согласно условиям ч. 3 статьи 18 Федерального закона.
5.6. Хранение персональных данных
При сборе персональных данных, в том числе посредством информационно- телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных Субъектов с использованием баз данных, находящихся на территории Российской Федерации, по адресу места нахождения Оператора.
Персональные данные Субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах, находящихся в запираемых помещениях с ограниченным правом доступа.
Оператор обеспечивает защиту персональных данных, зафиксированных на бумажных носителях, от несанкционированного доступа и копирования согласно постановлению Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Персональные данные Субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках (вкладках).
Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках).
Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
5.7. Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Уничтожение персональных данных должно исключать возможность последующего восстановления. Уничтожение документов (носителей), содержащих персональные данные, производится путем измельчения на мелкие части (шредирования), исключающего возможность восстановления информации. Персональные данные на электронных носителях уничтожаются путем удаления соответствующих значений в базе данных средствами операционной системы компьютера, исключающего возможность восстановления этих данных.
5.8. Порядок защиты персональных данных
Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий.
Для защиты персональных данных Оператор: назначает ответственного за организацию обработки персональных данных; издает и публикует на сайте политику обработки персональных данных, утверждает локальные акты по вопросам обработки персональных данных; проводит тренинги для работников по теме персональных данных; проверяет процессы и документы Оператора на их соответствие законодательству; оценивает риск и вред, который может быть причинен нарушением ФЗ «О персональных данных» и принимает меры для соблюдения законодательства; предоставляет доступ к персональным данным только тем работникам Оператора, которым он необходим для выполнения обязанностей; применяет технические, организационные и правовые меры для соблюдения закона.
Оператор проводит следующие мероприятия: определяет угрозы безопасности персональных данных при их обработке, формирует на их основе модели угроз; осуществляет разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем; формирует план проведения проверок готовности новых средств защиты информации к использованию с составлением заключений о возможности их эксплуатации; осуществляет установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией; проводит обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними; осуществляет учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных; осуществляет учет лиц, допущенных к работе с персональными данными в информационной системе; осуществляет контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией; вправе инициировать разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений; имеет описания системы защиты персональных данных.
При обработке персональных данных автоматически, доступа к ним кого-либо из работников Оператора не осуществляется. В случае если такой доступ понадобится, то он может быть предоставлен только тем работникам Правообладателя, которые нуждаются в этом для выполнения своих задач. Для защиты и обеспечения конфиденциальности данных все работники Оператора соблюдают внутренние правила и процедуры в отношении обработки персональных данных, а также следуют всем техническим и организационным мерам безопасности, действующим для защиты персональных данных Пользователя.
Оператор внедрил ряд технических и организационных методов, направленных на защиту персональных данных от разглашения или несанкционированного доступа к ним третьих лиц. Для обеспечения сохранности и конфиденциальности получаемых персональных данных Оператор использует соответствующие средства защиты.
Оператор проводит технические мероприятия, направленные на предотвращение несанкционированного доступа к персональным данным субъекта и (или) передачи их лицам, не имеющим права доступа к такой информации; защитные инструменты настроены на своевременное обнаружение фактов несанкционированного доступа к персональным данным субъекта; технические средства автоматизированной обработки персональных данных изолированы в целях недопущения воздействия на них, в результате которого может быть нарушено их функционирование; Оператор производит резервное копирование данных, с тем, чтобы иметь возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; осуществляет постоянный контроль за обеспечением уровня защищенности персональных данных.
5.9. Работникам, допущенным к обработке персональных данных, запрещается:
- покидать помещение, не поместив документы с персональными данными в закрываемые шкафы; - выносить документы, содержащие персональные данные, из помещений без служебной необходимости.
Лицо, ответственное за организацию обработки персональных данных, обязано:
5.10. Условия прекращения обработки персональных данных:
5.10.1. достижение целей обработки персональных данных,
5.10.2. истечение срока действия согласия, отзыв субъектом персональных данных согласия на обработку его персональных данных, по требованию субъекта персональных данных,
5.10.3. выявление неправомерной обработки персональных данных.
Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Сроки обработки персональных данных определяются в соответствии со сроком действия согласия, со сроком действия договора с субъектом персональных данных, нормативными правовыми актами Российской Федерации и нормативными документами уполномоченных органов государственной власти.
5.11. Оператор не осуществляет трансграничную передачу персональных данных.
5.1. При обработке персональных данных Оператор осуществляет следующие действия или совокупность действий с использование средств автоматизации или без использования таких средств с персональными данными включая: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
5.2. Конфиденциальность персональных данных. Правообладатель и иные лица, получившие доступ к персональным данным Пользователя, обязуются не раскрывать третьим лицам и не распространять персональные данные без согласия Пользователя, если иное не предусмотрено Федеральным законом.
5.3. Обработка персональных данных осуществляется Оператором следующими способами:
5.3.1. неавтоматизированная обработка персональных данных;
Персональные данные должны обособляться от иной информации путем фиксации их на отдельных материальных носителях, в специальных разделах.
При фиксации персональных данных на материальных носителях не допускается фиксации на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы.
При работе с документами, содержащими персональные данные, работник Оператора обязан исключить возможность ознакомления, просмотра этих документов лицами, не допущенными к работе с ними (в том числе другими работниками своего структурного подразделения).
При выносе документов, содержащих персональные данные, за пределы территории Оператора по служебной необходимости работник должен принять все возможные меры, исключающие утрату (утерю, хищение) таких документов.
5.3.2. автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
Обработка персональных данных, осуществляемая с использованием средств автоматизации, проводится при условии выполнения следующих действий: Оператор проводит технические мероприятия, направленные на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации; защитные инструменты настроены на своевременное обнаружение фактов несанкционированного доступа к персональным данным; технические средства автоматизированной обработки персональных данных изолированы в целях недопущения воздействия на них, в результате которого может быть нарушено их функционирование; Оператор производит резервное копирование данных, с тем, чтобы иметь возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; осуществляет постоянный контроль за обеспечением уровня защищенности персональных данных.
5.3.3. смешанная обработка персональных данных.
5.4. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 ФЗ «О персональных данных».
Персональные данные могут быть получены Оператором от лица, не являющегося субъектом персональных данных, при условии предоставления Оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 ФЗ «О персональных данных».
5.5. Если персональные данные получены не от Пользователя, Правообладатель, за исключением случаев, предусмотренных ч. 4 статьи 18 Федерального закона, до начала обработки таких персональных данных обязан предоставить Пользователю информацию согласно условиям ч. 3 статьи 18 Федерального закона.
5.6. Хранение персональных данных
При сборе персональных данных, в том числе посредством информационно- телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных Субъектов с использованием баз данных, находящихся на территории Российской Федерации, по адресу места нахождения Оператора.
Персональные данные Субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах, находящихся в запираемых помещениях с ограниченным правом доступа.
Оператор обеспечивает защиту персональных данных, зафиксированных на бумажных носителях, от несанкционированного доступа и копирования согласно постановлению Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Персональные данные Субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках (вкладках).
Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках).
Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
5.7. Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Уничтожение персональных данных должно исключать возможность последующего восстановления. Уничтожение документов (носителей), содержащих персональные данные, производится путем измельчения на мелкие части (шредирования), исключающего возможность восстановления информации. Персональные данные на электронных носителях уничтожаются путем удаления соответствующих значений в базе данных средствами операционной системы компьютера, исключающего возможность восстановления этих данных.
5.8. Порядок защиты персональных данных
Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий.
Для защиты персональных данных Оператор: назначает ответственного за организацию обработки персональных данных; издает и публикует на сайте политику обработки персональных данных, утверждает локальные акты по вопросам обработки персональных данных; проводит тренинги для работников по теме персональных данных; проверяет процессы и документы Оператора на их соответствие законодательству; оценивает риск и вред, который может быть причинен нарушением ФЗ «О персональных данных» и принимает меры для соблюдения законодательства; предоставляет доступ к персональным данным только тем работникам Оператора, которым он необходим для выполнения обязанностей; применяет технические, организационные и правовые меры для соблюдения закона.
Оператор проводит следующие мероприятия: определяет угрозы безопасности персональных данных при их обработке, формирует на их основе модели угроз; осуществляет разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем; формирует план проведения проверок готовности новых средств защиты информации к использованию с составлением заключений о возможности их эксплуатации; осуществляет установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией; проводит обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними; осуществляет учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных; осуществляет учет лиц, допущенных к работе с персональными данными в информационной системе; осуществляет контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией; вправе инициировать разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений; имеет описания системы защиты персональных данных.
При обработке персональных данных автоматически, доступа к ним кого-либо из работников Оператора не осуществляется. В случае если такой доступ понадобится, то он может быть предоставлен только тем работникам Правообладателя, которые нуждаются в этом для выполнения своих задач. Для защиты и обеспечения конфиденциальности данных все работники Оператора соблюдают внутренние правила и процедуры в отношении обработки персональных данных, а также следуют всем техническим и организационным мерам безопасности, действующим для защиты персональных данных Пользователя.
Оператор внедрил ряд технических и организационных методов, направленных на защиту персональных данных от разглашения или несанкционированного доступа к ним третьих лиц. Для обеспечения сохранности и конфиденциальности получаемых персональных данных Оператор использует соответствующие средства защиты.
Оператор проводит технические мероприятия, направленные на предотвращение несанкционированного доступа к персональным данным субъекта и (или) передачи их лицам, не имеющим права доступа к такой информации; защитные инструменты настроены на своевременное обнаружение фактов несанкционированного доступа к персональным данным субъекта; технические средства автоматизированной обработки персональных данных изолированы в целях недопущения воздействия на них, в результате которого может быть нарушено их функционирование; Оператор производит резервное копирование данных, с тем, чтобы иметь возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; осуществляет постоянный контроль за обеспечением уровня защищенности персональных данных.
5.9. Работникам, допущенным к обработке персональных данных, запрещается:
- сообщать сведения, являющиеся персональными данными, лицам, не имеющим права доступа к этим сведениям;
- делать неучтенные копии документов, содержащих персональные данные;
- оставлять документы, содержащие персональные данные, на рабочих столах без присмотра;
- покидать помещение, не поместив документы с персональными данными в закрываемые шкафы; - выносить документы, содержащие персональные данные, из помещений без служебной необходимости.
Лицо, ответственное за организацию обработки персональных данных, обязано:
- осуществлять внутренний контроль за соблюдением Оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
- доводить до сведения работников Оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
- организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и осуществлять контроль за приемом и обработкой таких обращений и запросов.
5.10. Условия прекращения обработки персональных данных:
5.10.1. достижение целей обработки персональных данных,
5.10.2. истечение срока действия согласия, отзыв субъектом персональных данных согласия на обработку его персональных данных, по требованию субъекта персональных данных,
5.10.3. выявление неправомерной обработки персональных данных.
Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Сроки обработки персональных данных определяются в соответствии со сроком действия согласия, со сроком действия договора с субъектом персональных данных, нормативными правовыми актами Российской Федерации и нормативными документами уполномоченных органов государственной власти.
5.11. Оператор не осуществляет трансграничную передачу персональных данных.
6. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
6.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки.
В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
Обязанности Оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных регламентируются ФЗ «О персональных данных», в том числе ст. 21. ФЗ «О персональных данных».
6.2. Обязанности Оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных регламентируются ФЗ «О персональных данных», в том числе ст. 20. ФЗ «О персональных данных».
6.3. Запрос может быть направлен:
6.3.1. в письменной форме по адресу места нахождения АО «ЦТВ»;
6.3.2. в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Запрос в форме электронного документа направляется на адрес: pd@digitalrussia.tv.
6.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки.
В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
Обязанности Оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных регламентируются ФЗ «О персональных данных», в том числе ст. 21. ФЗ «О персональных данных».
6.2. Обязанности Оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных регламентируются ФЗ «О персональных данных», в том числе ст. 20. ФЗ «О персональных данных».
6.3. Запрос может быть направлен:
6.3.1. в письменной форме по адресу места нахождения АО «ЦТВ»;
6.3.2. в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Запрос в форме электронного документа направляется на адрес: pd@digitalrussia.tv.
7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
7.1. Настоящая Политика подлежит при необходимости изменению, дополнению, в т.ч. в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
7.2. Настоящая Политика является внутренним документом Оператора, размещается на сайтах Оператора, в том числе при проведении мероприятий, организатором/соорганизатором которых является АО «ЦТВ», а также размещается по адресу места нахождения Оператора.
7.3. Новая редакция Политики вступает в силу с момента ее утверждения, если иное не предусмотрено новой редакцией Политики. Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных.
7.1. Настоящая Политика подлежит при необходимости изменению, дополнению, в т.ч. в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
7.2. Настоящая Политика является внутренним документом Оператора, размещается на сайтах Оператора, в том числе при проведении мероприятий, организатором/соорганизатором которых является АО «ЦТВ», а также размещается по адресу места нахождения Оператора.
7.3. Новая редакция Политики вступает в силу с момента ее утверждения, если иное не предусмотрено новой редакцией Политики. Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных.