Настоящая Политика обработки персональных данных (далее – Политика) разработана в соответствии с Федеральным законом Российской Федерации «О персональных данных» от 27.07.2006 №152-ФЗ (далее – Федеральный закон № 152-ФЗ), Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, а также иными федеральными законами и нормативными актами Российской Федерации, определяющими случаи и особенности обработки персональных данных (далее – ПДн) и обеспечения безопасности и конфиденциальности такой информации (далее – Законодательство о ПДн).
Положения и требования настоящей Политики направлены на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн в Обществе с ограниченной ответственностью «Компания БИС» (далее – ООО «Компания БИС», Общество, Оператор).
Настоящая Политика устанавливает: — принципы обработки ПДн; — права Субъектов ПДн; — обязанности Оператора при осуществлении обработки ПДн; — правовые основания обработки ПДн; — категории Субъектов ПДн и цели обработки ПДн; — состав обрабатываемых ПДн; — порядок и условия обработки ПДн; — условия соблюдения конфиденциальности ПДн и обеспечения безопасности ПДн; — порядок взаимодействия с Субъектами ПДн и Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор).
Ознакомление работников Общества с настоящей Политикой, в том числе с изменениями настоящей Политики, осуществляется под подпись.
Положения и требования настоящей Политики являются обязательными для исполнения всеми работниками Общества, имеющими доступ к ПДн.
Настоящая Политика подлежит размещению на сайтах Общества в информационно-телекоммуникационной сети Интернет, а также на всех страницах сайта Оператора, с использованием которых осуществляется сбор ПДн Субъектов ПДн.
Основные понятия Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники. Блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн). Информационная система ПДн – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств. Конфиденциальность ПДн – обязанность не раскрывать третьим лицам и не распространять ПДн без согласия Субъекта ПДн, если иное не предусмотрено федеральным законом. Обработка ПДн – любое действие (операция), либо совокупность действий (операций), совершаемых с использованием средств автоматизации, либо без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн. Оператор ПДн – государственный орган, муниципальный орган, юридическое, либо физическое лицо, самостоятельно, либо совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн. В настоящей Политике под Оператором ПДн подразумевается ООО «Компания БИС». Персональные данные, ПДн – любая информация, относящаяся к прямо, либо косвенно определенному, либо определяемому физическому лицу (Субъекту ПДн). ПДн, разрешенные Субъектом ПДн для распространения – ПДн, доступ неограниченного круга лиц к которым представлен Субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных Субъектом ПДн для распространения в порядке, предусмотренном Законом № 152-ФЗ «О персональных данных». Предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу, либо определенному кругу лиц. Распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц. Трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу, либо иностранному юридическому лицу. Удаление ПДн – изъятие ПДн из информационных систем с сохранением последующей возможности их восстановления. Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.
Принципы обработки персональных данных.
Обработка ПДн Оператором осуществляется с соблюдением следующих принципов, установленных законодательством Российской Федерации:
– обработка ПДн осуществляется на законной и справедливой основе;
– обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
– не допускается обработка ПДн, несовместимая с целями сбора ПДн;
– не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
– обработке подлежат только ПДн, которые отвечают целям их обработки;
– содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки ПДн и не должны быть избыточными по отношению к заявленным целям их обработки;
– при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Общество принимает необходимые меры по удалению, либо уточнению неполных и (или) неточных данных;
– хранение ПДн в форме, позволяющей определить Субъекта ПДн, осуществляется не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем, либо поручителем по которому является Субъект ПДн;
– обрабатываемые ПДн подлежат уничтожению, либо обезличиванию по достижении целей обработки, либо в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законодательством о ПДн.
Правовые основания обработки персональных данных
Правовыми основаниями обработки ПДн в Обществе являются:
– Конституция Российской Федерации;
– Гражданский кодекс Российской Федерации от 30.10.1994 № 51-ФЗ;
– Налоговый кодекс Российской Федерации от 31.07.1998 № 146-ФЗ;
– Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
– Федеральный закон Российской Федерации от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
– Федеральный закон Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
– Федеральный закон Российской Федерации от 14.07.2022 г. № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности»;
– Федеральный закон Российской Федерации от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
– Федеральный закон Российской Федерации от 28.12.2003 № 426-ФЗ «О специальной оценке условий труда»;
– Постановление Правительства Российской Федерации от 27.11.2006 г. № 719 «Об утверждении Положения о воинском учете»;
– Устав Оператора;
– Трудовой договор и соглашения к трудовому договору;
– Договор с контрагентом, стороной которого либо выгодоприобретателем, либо поручителем, по которому является Субъект ПДн, а также договор, заключаемый по инициативе Субъекта ПДн, либо договор, по которому Субъект ПДн будет являться выгодоприобретателем, либо поручителем;
– Пользовательское согласие на обработку собственных ПДн (форма согласия утверждается Приказом Генерального директора Оператора);
– Согласие кандидата на вакантную должность на обработку его ПДн (форма согласия утверждается Приказом Генерального директора Общества);
– Согласие работника на обработку его ПДн (форма согласия утверждается Приказом Генерального директора Общества);
– Согласие клиента на обработку его ПДн (форма согласия утверждается Приказом Генерального директора Общества).
Обязаности Общества при обработке персональных данных.
Общество при осуществлении обработки ПДн обязано:
– опубликовать, либо иным образом обеспечить неограниченный доступ к настоящему документу, определяющему политику Оператора в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети;
– уведомить Роскомнадзор о своем намерении осуществлять обработку ПДн, об изменениях сведений, указанных в уведомлении, а также в случае прекращения обработки ПДн в порядке и в сроки, установленные Федеральным законом № 152-ФЗ «О персональных данных»;
– при сборе ПДн предоставить Субъекту ПДн по его просьбе информацию, касающуюся обработки его ПДн;
– разъяснить Субъекту ПДн юридические последствия отказа предоставить ПДн и (или) дать согласие на обработку ПДн, если предоставление ПДн и (или) получение согласия на обработку ПДн является обязательным в соответствии с требованиями законодательства Российской Федерации;
– обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Федеральном законе № 152-ФЗ;
– не раскрывать и не распространять ПДн без согласия Субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации;
– разъяснить Субъекту ПДн порядок принятия решения на основании исключительно автоматизированной обработки его ПДн и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения;
– предоставить на безвозмездной основе Субъекту ПДн, либо его представителю возможность ознакомления с ПДн, относящимися к Субъекту ПДн, в той форме, в которой были направлены соответствующие обращение либо запрос, если иное не указано в обращении, либо запросе;
– внести необходимые изменения в ПДн при наличии сведений, подтверждающих, что ПДн являются неполными, неточными, либо неактуальными;
– немедленно прекратить по требованию Субъекта ПДн обработку его ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи;
– уничтожить ПДн при наличии сведений, подтверждающих, что такие ПДн являются незаконно полученными, либо не являются необходимыми для заявленной цели обработки;
– в случае отзыва Субъектом ПДн согласия на обработку его ПДн прекратить их обработку и уничтожить его ПДн, за исключением случаев, предусмотренных Законодательством о ПДн;
– по требованию Субъекта ПДн прекратить обработку и уничтожить его ПДн, за исключением случаев, предусмотренных Законодательством о ПДн;
– принимать необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного, либо случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
– уведомить Роскомнадзор в случае установления факта неправомерной, либо случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав Субъектов ПДн, в порядке и сроки, установленные Законодательством о ПДн;
– осуществлять взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности;
– сообщать в Роскомнадзор, по запросу этого органа необходимую информацию.
Категории Субъектов персональных данных и цели обработки персональных данных, состав и категории обрабатываемых персональных данных, способы, сроки обработки и хранения персональных данных, порядок их уничтожения
Категории Субъектов ПДн
Оператором осуществляется обработка ПДн следующих категорий Субъектов:
– кандидатов на вакантные должности;
– работников Оператора;
– бенефициаров (являющимися работниками Оператора);
– уволенных работников;
– родственников работников;
– потенциальных и действующих контрагентов (физических лиц, индивидуальных предпринимателей, представителей юридических лиц);
– потенциальных и действующих клиентов (физических лиц, индивидуальных предпринимателей, представителей юридических лиц);
– клиентов контрагентов;
– физических лиц, направивших в Общество обращения;
– посетителей сайта(ов) Оператора.
Цели обработки ПДн
Обработка ПДн кандидатов на вакантные должности осуществляется в целях осуществления подбора работников и последующего трудоустройства.
Обработка ПДн работников осуществляется в целях:
– заключения, исполнения, прекращения трудовых договоров и выполнения обязательств в рамках трудовых отношений, а также обязательств, связанных с трудовыми отношениями, предусмотренных трудовым, пенсионным, налоговым законодательством Российской Федерации;
– предоставления дополнительного медицинского страхования, социальных льгот и компенсаций работникам и (или) родственникам работников в случаях и порядке, установленном действующим законодательством Российской Федерации;
– перечисления заработной платы посредством банковских карт.
Обработка ПДн уволенных работников осуществляется в целях выполнения обязательств в соответствии с налоговым законодательством, законодательством о бухгалтерском учете и архивном делопроизводстве.
Обработка ПДн родственников работников осуществляется в целях:
– предоставления социальных льгот и компенсаций работникам и (или) близким родственникам работников в случаях и порядке, установленном действующим законодательством Российской Федерации.
Обработка ПДн потенциальных и действующих контрагентов (представителей юридических лиц) осуществляется в целях:
– заключения, исполнения, прекращения договоров, контрактов и соглашений с контрагентами;
– выполнения обязательств в соответствии с налоговым законодательством, законодательством о бухгалтерском учете;
– оформления доверенностей в целях представления интересов Общества;
– организации пропускного режима, в том числе, с использованием систем контроля и управления доступом (СКУД) и систем видеонаблюдения (СВН)
Обработка ПДн Субъектов, относящихся к потенциальным и действующим клиентам осуществляется в целях:
– заключения, исполнения, прекращения договоров, контрактов и соглашений с контрагентами;
– выполнения обязательств в соответствии с налоговым законодательством, законодательством о бухгалтерском учете;
– оформления доверенностей в целях представления интересов Оператора;
– организации пропускного режима, в том числе, с использованием СКУД и СВН;
– направления рекламных и маркетинговых рассылок (новостей и специальных предложений) посредством электронной почты.
Обработка ПДн клиентов (физических лиц) контрагентов осуществляется в целях:
– исполнения договорных обязательств.
Обработка ПДн физических лиц, направивших в Общество обращения, осуществляется в целях:
– осуществления обратной связи и ответов на запросы.
Обработка ПДн посетителей сайта осуществляется в целях:
– сбора статистики посещаемости сайта, анализа и улучшения работы сервисов сайта.
Состав обрабатываемых ПДн
Для целей, указанных в п. 6.2.1 - 6.2.4, осуществляется обработка следующих ПДн:
Фамилия; имя; отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; сведения о доходах; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство, данные документа, удостоверяющего личность, данные документа, содержащиеся в свидетельстве о рождении, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, профессия, должность, сведения о трудовой деятельности (в том числе, стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности; сведения о воинском учете; сведения об образовании.
Для целей, указанных в п. 6.2.5 – 6.2.7, осуществляется обработка следующих ПДн:
Фамилия; имя; отчество, год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, удостоверяющего личность за пределами Российской Федерации; данные документа, содержащиеся в свидетельстве о рождении; профессия; должность; сведения о трудовой деятельности (в том числе, стаж работы; данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации-работодателя); сведения об образовании.
Для цели, указанной в п. 6.2.8, осуществляется обработка следующих ПДн физических лиц, направивших в Общество обращения:
Имя; адрес электронной почты.
Для цели, указанной в п. 6.2.9, осуществляется обработка следующих ПДн посетителей сайта(ов):
Имя, номер телефона, адрес электронной почты
Категории обрабатываемых ПДн
Общество не осуществляет обработку специальных категорий ПДн.
Общество не осуществляет обработку биометрических ПДн.
Оператором не создаются общедоступные источники ПДн.
Оператором не осуществляет распространение ПДн.
Обработка ПДн осуществляется Оператором с использованием средств автоматизации, а также без использования таких средств (на бумажных носителях информации).
Сроки обработки и хранения ПДн определяются в соответствии с:
– целями обработки ПДн Субъектов ПДн;
– договором, стороной которого, выгодоприобретателем, либо поручителем по которому является Субъект ПДн;
– согласием Субъекта ПДн на обработку его ПДн;
– требованиями законодательства Российской Федерации.
Прекращение обработки и уничтожение ПДн осуществляется:
– по требованию Субъекта прекратить обработку его ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи;
– по требованию Роскомнадзора об уничтожении недостоверных, либо полученных незаконным путем ПДн;
– при выявлении неправомерной обработки ПДн;
– при отзыве согласия Субъекта ПДн на обработку его ПДн, за исключением случаев, предусмотренных Законодательством о ПДн;
– по требованию Субъекта ПДн прекратить обработку его ПДн, за исключением случаев, предусмотренных Законодательством о ПДн;
– при утрате необходимости в достижении целей обработки ПДн;
– по достижении целей обработки ПДн;
– по истечении установленных сроков хранения ПДн.
Права Субъекта персональных данных
Субъект ПДн имеет право:
– свободно, своей волей и в своем интересе предоставлять свои ПДн и давать согласие на их обработку;
– отозвать свое согласие на обработку ПДн;
– получать информацию, касающуюся обработки своих ПДн в порядке, форме и в сроки, установленные Законодательством о ПДн;
– требовать уточнения своих ПДн, их блокирования, либо уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки, либо используются в целях, не заявленных ранее;
– требовать прекращения обработки своих ПДн;
– требовать прекращения обработки своих ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи;
– заявлять возражение против решения, принятого исключительно на основании автоматизированной обработки ПДн;
– обжаловать действия, либо бездействие Оператора в Роскомнадзор, либо в судебном порядке, если считает, что Общество осуществляет обработку его ПДн с нарушением требований Закона № 152-ФЗ «О персональных данных», либо иным образом нарушает его права и свободы;
– принимать предусмотренные законодательством Российской Федерации меры по защите своих прав и законных интересов, в том числе, право на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Порядок и условия обработки персональных данных.
Сбор ПДн
Сбор ПДн осуществляется непосредственно у самого Субъекта ПДн и (или) через других лиц, привлекаемых для сбора данных, с последующей их передачей в Общество на основании Поручения на обработку ПДн в соответствии с условиями Договора.
При сборе ПДн на страницах сайтов Общества Оператор предоставляет Субъекту ПДн возможность ознакомления с настоящей Политикой и дать согласие на обработку ПДн свободно, своей волей и в своем интересе.
Сбор и обработка ПДн Субъекта ПДн в целях продвижения товаров, работ, услуг Оператора и иных третьих лиц с помощью средств связи осуществляется только при условии получения предварительного согласия на это Субъекта ПДн.
Если в соответствии с требованиями законодательства Российской Федерации предоставление ПДн и (или) получение Оператором согласия на обработку ПДн являются обязательными, Общество разъясняет Субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку.
Если ПДн получены не от Субъекта ПДн, Общество до начала обработки таких ПДн предоставляет Субъекту ПДн следующую информацию:
– наименование и адрес Оператора;
– цель обработки ПДн и ее правовое основание;
– перечень ПДн;
– предполагаемые пользователи ПДн;
– установленные Законодательством о ПДн права Субъекта ПДн;
– источник получения ПДн.
Общество освобождается от обязанности предоставлять Субъекту ПДн перечисленные в п. 8.1.5. сведения, в случаях, если Субъект ПДн уведомлен об осуществлении Оператором обработки его ПДн, либо если ПДн получены Оператором на основании законодательства Российской Федерации, либо в связи с исполнением договора, стороной которого либо выгодоприобретателем, либо поручителем по которому является субъект, а также в иных случаях, предусмотренных Федеральным законом №152-ФЗ.
Решение, порождающее юридические последствия в отношении Субъекта ПДн, либо иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его ПДн только при наличии согласия в письменной форме Субъекта ПДн, либо в случаях, предусмотренных законодательством Российской Федерации, устанавливающим меры по обеспечению соблюдения прав и законных интересов Субъекта ПДн.
Условия передачи ПДн третьим лицам.
Предоставление ПДн органам государственной власти, органам местного самоуправления, а также иным уполномоченным органам допускается в случаях и на основаниях, предусмотренных законодательством Российской Федерации.
Передача ПДн между подразделениями Оператора осуществляется только между работниками, имеющими доступ к ПДн Субъектов ПДн.
ПДн Субъекта ПДн предоставляются Представителю Субъекта ПДн в порядке, установленном действующим законодательством Российской Федерации, при наличии документов, подтверждающих полномочия представителя, и документов, удостоверяющих личность представителя.
Передача ПДн Субъекта ПДн третьему лицу осуществляется только с согласия Субъекта ПДн. В согласии Субъекта ПДн указываются сведения о третьем лице (третьих лицах), которому (которым) передаются ПДн, а также цель передачи ПДн.
Передача ПДн, либо поручение обработки ПДн третьему лицу осуществляется на основании договора, существенными условиями которого являются соблюдение третьим лицом конфиденциальности и обеспечение безопасности ПДн в соответствии с требованиями Законодательства о ПДн.
При передаче ПДн третьим лицам, которые на основании договоров получают доступ, либо осуществляют обработку ПДн, Общество ограничивает эту информацию только теми ПДн, которые необходимы для выполнения указанными лицами их функций (услуг, работ).
Трансграничная передача ПДн
Трансграничная передача ПДн не осуществляется.
Хранение ПДн
Хранение ПДн осуществляется в информационных системах Оператора и на бумажных носителях.
Документы на бумажных носителях, резервные копии без данных информационных систем хранятся в специально выделенных помещениях Оператора, доступ к которым предоставляется работникам в соответствии с должностными обязанностями.
Прекращение обработки и уничтожение ПДн
В случае обращения Субъекта ПДн с требованием прекратить обработку его ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи, Общество незамедлительно прекращает их обработку.
В случае выявления неправомерной обработки ПДн при обращении Субъекта ПДн, либо его представителя, либо по запросу Субъекта ПДн, либо его представителя, либо Роскомнадзора, Общество в срок, не превышающий 3 (трех) рабочих дней с даты этого обращения, прекращает неправомерную обработку ПДн и в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки ПДн, уничтожает такие ПДн, о чем сообщает Субъекту ПДн, либо в Роскомнадзор.
В случае отзыва Субъектом ПДн согласия на обработку его ПДн Общество прекращает такую обработку и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожает ПДн в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено законодательством Российской Федерации, а также договором стороной которого выгодоприобретателем, либо поручителем по которому является Субъект ПДн либо если Общество не вправе осуществлять обработку ПДн без согласия Субъекта ПДн на основаниях, предусмотренных законодательством Российской Федерации.
В случае обращения Субъекта ПДн с требованием о прекращении обработки его ПДн, Общество в срок, не превышающий 10 (десяти) рабочих дней с даты получения соответствующего требования, прекращает их обработку, за исключением случаев, предусмотренных Законодательством Российской Федерации.
В случае утраты необходимости в достижении целей Общество уничтожает обрабатываемые ПДн в срок, не превышающий 30 (тридцати) дней, если иное не предусмотрено законодательством Российской Федерации.
В случае достижения целей обработки ПДн, а также по истечении установленных сроков хранения ПДн Общество уничтожает обрабатываемые ПДн в срок, не превышающий 30 (тридцати) дней, если иное не предусмотрено законодательством Российской Федерации.
Доступ к ПДн ограничивается в соответствии с требованиями законодательства Российской Федерации.
Доступ к обрабатываемым ПДн предоставляется только тем работникам Оператора, которым он необходим в связи с исполнением ими своих должностных обязанностей.
Работники Оператора, получившие доступ к ПДн, принимают на себя обязательства по обеспечению конфиденциальности и безопасности обрабатываемых ПДн.
Общество не раскрывает третьим лицам и не распространяет ПДн без согласия на это Субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.
Третьи лица, получившие доступ к ПДн, либо осуществляющие обработку ПДн по поручению Оператора, обязуются соблюдать требования договоров и соглашений с Оператором в части обеспечения конфиденциальности и безопасности ПДн.
Безопасность персональных данных
Оператором соответствующими распорядительными документами назначены лица, ответственные за организацию обработки и обеспечение безопасности ПДн.
В целях обеспечения безопасности ПДн Оператором выполняются следующие мероприятия:
– систематическая оценка угроз безопасности ПДн при их обработке в информационных системах ПДн;
– оценка причинения вреда и (или) нанесения ущерба Субъектам ПДн в случае нарушения Законодательства о ПДн;
– определение необходимого уровня защищенности ПДн, обрабатываемых в информационных системах Оператора, в соответствии с Постановлением Правительства РФ от 01.11.2012 г. №1119 «Об утверждении требований к защите ПДн при их обработке в информационных системах персональных данных»;
– разграничение доступа к информационным системам ПДн, материальным носителям (документам), съемным (машинным) носителям ПДн;
– регистрация и учет действий пользователей и администраторов информационных систем с ПДн, программными средствами информационных систем, съемными (машинными) носителями и средствами защиты информации;
– предотвращение внедрения в информационные системы ПДн Оператора вредоносных программ;
– использование защищенных каналов связи;
– резервирование и восстановление работоспособности технических средств и программного обеспечения, баз данных и средств защиты информационных систем;
– исключение возможности бесконтрольного прохода в офисы Оператора, а также в помещения, где размещены технические средства, позволяющие осуществлять обработку ПДн, а также хранятся носители ПДн;
– выявление инцидентов, связанных с нарушением требований по обработке и обеспечению безопасности ПДн, и реагирование на них;
– повышение уровня знаний работников Оператора в сфере обработки и обеспечения безопасности ПДн;
– проведение внутренних и внешних проверок (аудитов) соответствия безопасности ПДн требованиям настоящей Политики, внутренних документов Оператора, требованиям Законодательства о ПДн;
– оценка эффективности принимаемых мер по обеспечению безопасности ПДн и совершенствование системы защиты ПДн.
Порядок рассмотрения обращений Cубъектов персональных данных
Предоставление информации и/или принятие иных мер в связи с поступлением обращений и/или запросов от Субъектов ПДн производится Оператором в объеме и сроки, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных». Установленный Федеральным законом № 152-ФЗ «О персональных данных» срок ответа Субъекту ПДн на запрос о предоставлении информации, касающейся обработки его ПДн, может быть продлен не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес Субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Запрос, направляемый Субъектом ПДн, должен содержать информацию, предусмотренную Федеральным законом № 152-ФЗ «О персональных данных».
Общество, получив обращение или запрос Субъекта ПДн и убедившись в его законности предоставляет сведения, указанные в запросе, Субъекту ПДн и/или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении, либо запросе, и / или принимает иные меры в зависимости от специфики обращения / запроса. Предоставляемые Обществом сведения не должны содержать ПДн, принадлежащие другим Субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких ПДн.
Общество вправе отказать Субъекту ПДн в удовлетворении требований, указанных в обращении, путем направления Субъекту ПДн, либо его представителю мотивированного отказа, если у Оператора в соответствии с требованиями законодательства Российской Федерации имеются законные основания отказать в выполнении / удовлетворении поступивших требований.
Оператором осуществляется контроль за приемом и обработкой обращений Субъектов ПДн в целях обеспечения соблюдения прав и законных интересов Субъектов ПДн, требований к срокам обработки обращений, обеспечения качества и полноты принятия мер в отношении законного требования Субъекта ПДн и предоставления необходимой информации по его обращению в соответствии с Порядком работы с обращениями Субъектов ПДн, либо их представителей, и запросами уполномоченного органа по защите прав Субъектов ПДн в ООО «Компания БИС».
Уведомление уполномоченного органа по защите прав Субъектов персональных данных и государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации
В случаях, установленных Федеральным законом № 152-ФЗ «О персональных данных», Общество направляет в Роскомнадзор уведомление об обработке ПДн, а также уведомление об осуществлении трансграничной передачи ПДн.
В случае изменений сведений об обработке ПДн и осуществлении трансграничной передачи ПДн Общество уведомляет об этом Роскомнадзор в порядке и сроки, установленные Федеральным законом № 152-ФЗ «О персональных данных».
В случае установления факта компьютерного инцидента, повлекшего неправомерную передачу (предоставление, распространение, доступ) ПДн, Общество с момента выявления такого инцидента, уведомляет Роскомнадзор и Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации путем заполнения уведомления о факте неправомерной передачи ПДн, в порядке, определенном в п.3 Порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, утвержденного Приказом ФСБ № 77 от 13.02.2023г.:
– в течение 24 (двадцати четырех) часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав Субъектов ПДн, и предполагаемом вреде, нанесенном правам Субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также о лице, уполномоченном Оператором на взаимодействие с государственными регулирующими органами, по вопросам, связанным с выявленным инцидентом;
– в течение 72 (семидесяти двух) часов о результатах внутреннего расследования выявленного инцидента, а также о лицах, действия которых стали причиной выявленного инцидента (при наличии).
Общество сообщает по запросу Роскомнадзора и Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) необходимую информацию в течение 10 (десяти) рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Компанией в адрес Роскомнадзора и Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Заключительные положения
Настоящая Политика подлежит пересмотру и совершенствованию на регулярной основе в установленном Оператором порядке, а также в случаях изменения законодательства Российской Федерации, либо внутренних (локальных) нормативных документов Оператора, определяющих порядок обработки и защиты ПДн.
Контроль исполнения требований настоящей Политики осуществляется лицами, ответственными за организацию обработки и обеспечение безопасности ПДн в Обществе.
Ответственность должностных лиц Оператора, имеющих доступ к ПДн, за невыполнение требований и норм, регулирующих обработку и защиту ПДн, определяется в соответствии с требованиями законодательства Российской Федерации и внутренними (локальными) нормативным документами Оператора.
Контактная информация
Любые обращения, касающиеся обработки ПДн, направляются на электронную почту: PDn@breez.ru, а также на почтовый адрес: 129226, город Москва, ул. Докукина, д. 16 стр. 1.