1. Назначение и область применения

1.1. Настоящий документ (далее — Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных в ЗАО «ПФ «СКБ Контур» (далее — Оператор).

1.2. Политика действует бессрочно после утверждения и до ее замены новой версией.

1.3. В Политике используются термины и определения в соответствии с их значениями, как они определены в ФЗ-152 «О персональных данных».

1.4. Политика распространяется на всех сотрудников Оператора (включая работников по трудовым договорам и сотрудников, работающих по договорам подряда) и все структурные подразделения Общества, включая обособленные подразделения.

Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных Оператором, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку.

Настоящая Политика в области обработки персональных данных (далее — Политика) разработана на основании ст.18.1 Федерального закона № 152-ФЗ «О персональных данных», с учетом требований Конституции Российской Федерации, Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, международных договоров Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации в области персональных данных.

Действие настоящей Политики распространяется на отношения по обработке и обеспечению безопасности информации ограниченного доступа, относящейся в соответствии с законодательством Российской Федерации к персональным данным (далее — ПДн).

Политика обработки персональных данных пользователей

Настоящая Политика определяет принципы, цели, порядок и условия обработки ПДн работников ЗАО «КРОК инкорпорейтед» (далее — Компания) и иных субъектов, чьи ПДн обрабатываются Компанией. В настоящей Политике содержатся положения об ответственности Компании и ее работников в случае выявления нарушений обработки ПДн законодательству.

Настоящая Политика является общедоступным документом и опубликована на официальном сайте Компании в сети Интернет.

Действие настоящей Политики не распространяется на отношения, возникающие при:

  • организации хранения, комплектования, учета и использования содержащих персональные данные документов, имеющих статус архивных документов в соответствии с законодательством об архивном деле в Российской Федерации,
  • обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Положениями настоящей Политики руководствуются все работники Компании.

Термины и сокращения

Пользователь (субъект персональных данных) ­– любое правоспособное лицо, имеющее намерение в дальнейшем полностью или частично использовать функционал Сайта (-ов).

1037700049606, ИНН: 7703082786, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с персональными данными.

Использование Сайта (-ов) означает полное и безоговорочное согласие пользователя с настоящей Политикой и указанными в ней условиями обработки его персональных данных. В случае несогласия с этими условиями пользователь должен воздержаться от использования данного (-ых) Сайта (-ов).

ПДн Персональные данные

ИСПДн Информационная система персональных данных

НСД Несанкционированный доступ

Расположение хостинга сайта

1.1.1. Персональная информация, которую пользователь предоставляет о себе самостоятельно при оставлении заявки, регистрации (создании учётной записи), обращения через форму обратной связи или в связи с иным процессом использования Сайтов.

Политика обработки персональных данных пользователей

1.1.2. Данные, которые предоставляются ТАСС, в целях осуществления оказания услуг и/или предоставления иных ценностей для посетителей Сайтов, в соответствии с деятельностью настоящих Сайтов:

  • фамилия;
  • имя;
  • отчество;
  • номер телефона;
  • электронная почта;
  • месторасположение;
  • фотография (изображение гражданина);
  • серия, номер документа, удостоверяющего личность/дата и место его выдачи;
  • возраст/дата рождения;
  • адрес регистрации/отправки корреспонденции;
  • ссылка на персональный сайт или социальные сети.

В соответствии с ФЗ № 152, все интернет-ресурсы, на которых хранятся и обрабатываются персональные данные, должны быть расположены на территории Российской Федерации. С учётом того, что контролирующие органы считают персональными данными также и данные о поведении пользователя на сайте, то это касается практически любого интернет-ресурса. За нарушение этого требования Роскомнадзор их блокирует.

Под расположением хостинга подразумевается физическое местонахождение ЦОДа, на котором размещен ваш сайт. То есть, если хостинг-провайдер зарегистрирован в России, а его ЦОДы расположены, к примеру, в Эстонии, вы нарушаете закон и попадаете под блокировку сайта.

Мы составили список работ, которые стоит сделать на своём сайте прямо сейчас. Это тот необходимый минимум, который позволит вам избежать проблем в случае проверок Роскомнадзора.

3. Принципы обработки персональных данных

Обработка ПДн осуществляется в Компании на основе следующих принципов:

  1. обработка ПДн осуществляется на законной и справедливой основе;
  2. обработка ПДн ограничена достижением конкретных, заранее определенных и законных целей;
  3. Компания не обрабатывает ПДн, несовместимые с целями сбора персональных данных;
  4. Компания разделяет базы данных, содержащие ПДн, обработка которых осуществляется в целях, несовместимых между собой;
  5. Компания обрабатывает только ПДн, которые отвечают целям их обработки;
  6. содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки;
  7. обрабатываемые ПДн не являются избыточными по отношению к заявленным целям их обработки;
  8. при обработке ПДн обеспечиваются точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн.
  9. принимаются необходимые меры либо обеспечиваться их принятие по удалению или уточнению неполных или неточных ПДн;
  10. хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
  11. обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Предлагаем ознакомиться:  Как повысить функцию поджелудочной железы и заставить ее работать

2. Цели сбора и обработки персональных данных пользователей

Компания осуществляет обработку персональных данных в целях осуществления деятельности Компании согласно законодательству Российской Федерации и Уставу Компании.

2.1. ТАСС собирает и обрабатывает только те персональные данные, которые необходимы для оказания услуг и/или предоставления иных ценностей для посетителей Сайтов.

Политика обработки персональных данных пользователей

2.2.1. Идентификация стороны в рамках соглашений и договоров с ТАСС.

2.2.2. Предоставление пользователю персонализированных услуг и сервисов, предложений и иных ценностей.

2.2.3. Связь с пользователем, в том числе направление уведомлений, запросов и информации, касающихся использования Сайтов, оказания услуг, а также обработка запросов и заявок от пользователя.

2.2.4. Улучшение качества Сайтов, удобства его использования, разработка новых услуг и сервисов.

2.2.5. Таргетирование рекламных материалов.

Политика обработки персональных данных пользователей

2.2.6. Проведение статистических и иных исследований на основе предоставленных данных.

2.2.7. Передача данных третьим лицам в целях осуществления деятельности Сайтов.

2.2.8. Заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическими лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и/или Уставом ТАСС.

7. Состав лиц, организующих и участвующих в обработке и обеспечении безопасности персональных данных

3.1. Сайты обрабатывают персональные данные пользователей в соответствии с внутренними регламентами, действующими в отношении конкретных сервисов.

3.2. В отношении персональных данных пользователя сохраняется ее конфиденциальность, кроме случаев добровольного предоставления пользователем информации о себе для общего доступа неограниченному кругу лиц.

3.3.1. Пользователь выразил свое осознанное согласие на такие действия, путем согласия, выразившегося в предоставлении таких данных.

3.3.2. Передача необходима в рамках использования пользователем определенного Сайта.

3.3.3. Передача предусмотрена российским или иным применимым законодательством в рамках установленной процедуры.

3.3.4. В целях обеспечения защиты прав и законных интересов ТАСС или третьих лиц в случаях, когда пользователь нарушает условия использования Сайта.

3.4. При обработке персональных данных пользователей ТАСС руководствуется Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и иными нормативно-правовыми актами Российской Федерации.

В Компании назначено лицо, ответственное за организацию обработки ПДн.

В Компании назначено лицо, ответственное за обеспечение безопасности ПДн и ИСПДн.

В Компании назначены лица, ответственные за организацию обработки ПДн в структурных подразделениях.

В обработке ПДн в Компании участвуют работники в рамках выполнения своих должностных обязанностей.

4. Права субъектов персональных данных

Субъектами, ПДн которых обрабатываются в Компании с использованием средств автоматизации или без использования таковых, являются:

  • кандидаты на работу в Компании;
  • работники Компании и члены их семей (супруги и близкие родственники);
  • лица, имевшие ранее трудовые отношения с Компанией;
  • лица, имеющие гражданско-правовой характер договорных отношений с Компанией, или находящиеся на этапе преддоговорных или выполненных отношений подобного характера;
  • лица, проходящие различного рода практику (стажировку) в Компании;
  • акционеры Компании;
  • контрагенты Компании, представленные индивидуальными предпринимателями, их работниками; учредителями, руководителями, представителями (лицами, действующими на основании доверенностей) и работниками юридических лиц, имеющих или имевших договорные отношения с Компанией, либо желающих заключить договоры с Компанией;
  • посетители Компании;
  • иные лица, обработка ПДн которых необходима Компании для осуществления целей, указанных в разделе 4 настоящей Политики.

pdf

В Компании обрабатываются следующие категории ПДн:

  • ПДн общей категории (иные ПДн), которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным или к общедоступным ПДн;
  • биометрические ПДн;
  • общедоступные ПДн.

4.1. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Оператору по почте или обратившись лично.

4.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки персональных данных Оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые Оператором способы обработки персональных данных;
  • наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
Предлагаем ознакомиться:  Норма сахара в крови после еды у здорового человека после еды

4.3. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4.4. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) или  судебном порядке.

4.5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

4. Права субъектов персональных данных

4.1. Пользователь вправе в любой момент изменить (обновить, дополнить) предоставленные им персональные данные или их часть, если подтвердит, что они неполные, неточные или неактуальные, а также параметры конфиденциальности их обработки, а также вправе требовать их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными или не являются необходимыми для заявленной цели обработки.

4.2. Пользователь может в любой момент, отозвать свое согласие на обработку персональных данных.

4.3. Пользователь вправе запросить имеет ли место факт обработки его персональных данных, уточнить источник получения его персональных данных, узнать о правовых основаниях, целях, сроках и способах обработки его персональных данных.

4.5. По указанным в настоящем разделе вопросам и иным предложениям и вопросам, связанным с обработкой Сайтами персональных данных пользователя, следует обращаться путем направления письменного запроса в ТАСС по адресу: 125993, г. Москва, ул. Тверской бульвар, дом 10-12.

4.4. Запрос должен содержать номер основного документа, удостоверяющего личность Пользователя или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Пользователя в отношениях с ТАСС (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных ТАСС, подпись пользователя или его представителя.

5. Меры, применяемые для защиты персональных данных пользователей

3.1. Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных для их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:

  • назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности персональных данных;
  • проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;
  • издание локальных актов по вопросам обработки персональных данных, ознакомление с ними работников, обучение пользователей;
  • обеспечение физической безопасности помещений и средств обработки, пропускной режим, охрана, видеонаблюдение;
  • ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;
  • определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
  • применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценкисоответствия в установленном порядке;
  • учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
  • резервное копирование информации для возможности восстановления;
  • осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.

5.1. ТАСС принимает необходимые правовые, организационные и технические меры для защиты персональных данных пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц.

8. Обработка и обеспечение безопасности персональных данных

Обработка ПДн в Компании допускается в следующих случаях:

  • обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн.
  • обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем.
  • обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн.
  • обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн. Исключение составляет обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации.
  • осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн, либо по его просьбе.
  • осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом,
  • а также обработка ПДн Компанией возможна в иных случаях, предусмотренных федеральным законодательством.
Предлагаем ознакомиться:  Глюкометр отечественного производства

Включение Компанией ПДн субъектов в общедоступные источники ПДн возможно только в случае наличия требований федерального законодательства, либо в случае получения письменного согласия субъекта ПДн.

Компания осуществляет трансграничную передачу ПДн работников в целях исполнения договорных обязательств с контрагентами только на в случае наличия письменного согласия субъекта ПДн.

Компанией не осуществляется принятие решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы на основании исключительно автоматизированной обработки ПДн

Компания вправе поручить обработку ПДн другому лицу только с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее — поручение оператора).

При этом Компания обязывает лицо, осуществляющее обработку ПДн по поручению, соблюдать принципы и правила обработки ПДн, предусмотренные федеральным законом. В случае если Компания поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Компания. Лицо, осуществляющее обработку ПДн по поручению Компании, несет ответственность перед Компанией.

Компания обязуется и обязывает иных лиц, получивших доступ к ПДн не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

Обработка Компанией ПДн прекращается в следующих случаях:

  • достижение целей обработки ПДн;
  • истечение срока обработки ПДн, предусмотренного федеральным законодательством, договором или согласием субъекта ПДн на обработку его ПДн;
  • при отзыве субъектом ПДн согласия на обработку его ПДн, в случаях, не противоречащих требованиям федерального законодательства.

Компания принимает все необходимые правовые, организационные и технические меры при обработке ПДн для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн.

Реализуются меры по организации обработки и обеспечению безопасности ПДн, обрабатываемых без средств автоматизации, в том числе:

  • для каждой категории ПДн определены места хранения ПДн (материальных носителей) и установлен перечень лиц, осуществляющих обработку ПДн и имеющих к ним доступ;
  • обеспечено раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях;
  • соблюдаются условия, обеспечивающие сохранность ПДни исключающие несанкционированный к ним доступ при хранении материальных носителей.

Реализуются меры по защите ПДн при их обработке в информационных системах ПДн, в том числе:

  • определяется уровень защищенности ПДнпри их обработке в информационных системах;
  • выполняются требования по защите ПДнв информационных системах ПДн в соответствии с определенными уровнями защищенности ПДн;
  • применяются необходимые средства защиты информации;
  • осуществляется оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
  • осуществляется учет машинных носителей ПДн;
  • осуществляется обнаружение фактов НСД к ПДн и принятие необходимых мер;
  • осуществляется восстановление ПДн, модифицированных или уничтоженных вследствие НСД к ним;
  • устанавливаются правила доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечивается регистрация и учет действий, совершаемых с ПДн в ИСПДн, там, где это необходимо;
  • контролируются принимаемые меры по обеспечению безопасности ПДн и уровень защищенности ИСПДн.

9. Нарушение политики и ответственность

Политика обработки персональных данных пользователей

Компания несет ответственность за соответствие обработки и обеспечение безопасности персональных данных законодательству. Все работники Компании, осуществляющие обработку персональных данных, несут ответственность за соблюдение настоящей Политики и иных локальных актов Компании по вопросам обработки и обеспечению безопасности персональных данных.

Любой работник, которому стало известно о нарушении настоящей Политики или который подозревает о существовании такого нарушения, должен сообщить об этом лицу, ответственному за организацию обработки ПДн, в соответствии с существующими в Компании процедурами.

Любые нарушения настоящей Политики и иных локальных актов Компании по вопросам обработки и обеспечению безопасности персональных данных будут расследоваться в соответствии с действующими в Компании процедурами.

Лица, признанные виновными в нарушении установленных порядка и процедур обработки и обеспечения безопасности персональных данных, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством Российской Федерации.

5.1. Права и обязанности Оператора определяются действующим законодательством и соглашениями Оператора.

5.2. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных и Отделом информационной безопасности Оператора в пределах их полномочий.

5.3. Ответственность лиц, участвующих в обработке персональных данных на основании поручений Оператора, за неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного между Оператором и контрагентом гражданско-правового договора или Соглашения о конфиденциальности информации.

5.4. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами, локальными актами, соглашениями Оператора.