techcommit
ПОЛИТИКА
по организации обработки и обеспечению безопасности персональных данных
Общества с ограниченной ответственностью «Техкоммит»
1. ОБЩИЕ ПОЛОЖЕНИЯ ПОЛИТИКИ
1.1. Общество с ограниченной ответственностью «Техкоммит» (далее - «Оператор») считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных (далее- «ПД»), а также обеспечение безопасности процессов их обработки.
1.2. Настоящая Политика об организации обработки и обеспечении безопасности ПД (далее — «Политика»):
1.2.1. разработана в целях реализации требований действующего законодательства РФ в области обработки и защиты ПД;
1.2.2. раскрывает способы и принципы обработки Оператором П Д, права и обязанности Оператора при обработке ПД, права Субъектов П Д, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности ПД при их обработке;
1.2.3. является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке и защите ПД;
1.3. Для страниц сайта и/или приложений, посредством которых Оператором осуществляется сбор ПД, с целью ознакомления Субъектов П Д с более детальной информацией об обработке ПД и принимаемых мерах по их защите, Оператор вправе разрабатывать дополнительные документы (частные политики конфиденциальности) по вопросам обработки и защиты ПД, сбор которых осуществляется через такие страницы сайта и/или приложения, и размещать их на соответствующих страницах сайта и/или в приложениях. При этом обозначенные документы (частные политики конфиденциальности) не могут противоречить требованиям
законодательства РФ и положениям настоящей Политики.
1.4. В настоящей Политике используются следующие понятия, сокращения и аббревиатуры:
1.1. Общество с ограниченной ответственностью «Техкоммит» (далее - «Оператор») считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных (далее- «ПД»), а также обеспечение безопасности процессов их обработки.
1.2. Настоящая Политика об организации обработки и обеспечении безопасности ПД (далее — «Политика»):
1.2.1. разработана в целях реализации требований действующего законодательства РФ в области обработки и защиты ПД;
1.2.2. раскрывает способы и принципы обработки Оператором П Д, права и обязанности Оператора при обработке ПД, права Субъектов П Д, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности ПД при их обработке;
1.2.3. является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке и защите ПД;
1.3. Для страниц сайта и/или приложений, посредством которых Оператором осуществляется сбор ПД, с целью ознакомления Субъектов П Д с более детальной информацией об обработке ПД и принимаемых мерах по их защите, Оператор вправе разрабатывать дополнительные документы (частные политики конфиденциальности) по вопросам обработки и защиты ПД, сбор которых осуществляется через такие страницы сайта и/или приложения, и размещать их на соответствующих страницах сайта и/или в приложениях. При этом обозначенные документы (частные политики конфиденциальности) не могут противоречить требованиям
законодательства РФ и положениям настоящей Политики.
1.4. В настоящей Политике используются следующие понятия, сокращения и аббревиатуры:
- Оператор: Общество с ограниченной ответственностью «Техкоммит» (119 049, г. Москва вн. тер. г. муниципальный округ Якиманка, ул. Большая Якиманка, д. 35, стр. 1, помещ. 1/5, ИНН: 9 715 413 154, ОГРН: 1 227 700 034 650), которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку ПД, а также определяет цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД.
- Политика: Политика Оператора об организации обработки и обеспечении безопасности персональных данных.
- 152-ФЗ: Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Субъект ПД: Физическое лицо, к которому относятся соответствующие персональные данные.
- Автоматизированная обработка ПД: Обработка П Д с помощью средств вычислительной техники.
- Безопасность ПД: Защищенность П Д от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД.
- Биометрические ПД: Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПД.
- Блокирование ПД: Временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения ПД).
- ИСПД: Информационная система персональных данных — совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств.
- Компьютерный инцидент: Любое реальное или предполагаемое событие, имеющее отношение к безопасности информационной или телекоммуникационной системы.
- Материальный носитель информации (ПД): Материальный объект, используемый для закрепления и хранения на нем речевой, звуковой или изобразительной информации (ПД), в т. ч. в преобразованном виде.
- Неавтоматизированная обработка ПД: Обработка ПД без помощи средств вычислительной техники.
- Обработка ПД: Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации и (или) без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
- Обработка ПД без использования средств автоматизации: Обработка П Д, содержащихся в ИСПД либо извлеченных из такой системы, если такие действия с ПД, как использование, уточнение, распространение, уничтожение ПД в отношении каждого из субъектов ПД, осуществляются при непосредственном участии человека. Обработка П Д не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что ПД содержатся в ИСПД либо были извлечены из нее.
- Общедоступные источники ПД: Источники персональных данных (в том числе справочники, адресные книги), создаваемые в целях информационного обеспечения.
- Оценка возможного вреда: Определение уровня вреда на основании учёта причинённых убытков и морального вреда, нарушения конфиденциальности, целостности и доступности ПД.
- ПД: Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
- Передача ПД: Распространение, предоставление или доступ к ПД.
- Работник: Физическое лицо, вступившее в трудовые отношения с Оператором.
- Распространение ПД: Действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
- РФ: Российская Федерация.
- СЗИ: Средства защиты информации
- Уничтожение ПД: Действия, в результате которых становится невозможным восстановить содержание ПД в информационной системе ПД и (или) в результате которых уничтожаются материальные носители ПД.
- Трансграничная передача данных: Передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
- Третьи лица: физические лица, в том числе индивидуальные предприниматели, и/или юридические лица, действующие как в собственных интересах, так и представляющий интересы третьих сторон, в их отношениях с Оператором в рамках или в связи с предполагаемыми/заключаемыми или заключенными гражданско-правовыми договорами.
2. ПРИНЦИПЫ, ЦЕЛИ И СОДЕРЖАНИЕ ОБРАБОТКИ ПД
2.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки ПД, указанных в ст. 5 152-ФЗ.
2.2. Оператор осуществляет целенаправленную обработку ПД в соответствии с применимым законодательством о ПД.
2.3. Описание целей обработки ПД, состава обрабатываемых ПД, категорий субъектов, ПД которых обрабатываются, правовых оснований такой обработки, а также сроках их обработки и хранения, способы обработки и действия изложены в Приложении № 1 к настоящей Политике.
2.4. Полное справочно-информационное описание обработки ПД отражается в локальных нормативных актах Оператора и соответствующих согласиях. Субъект П Д или его законные представители имеют право обратиться к Оператору с запросом в целях реализации и защиты своих прав и законных интересов по адресу места нахождения исполнительного органа Оператора.
3. ОСОБЕННОСТИ СБОРА И ИНОЙ ОБРАБОТКИ ПД
3.1. Оператор может обрабатывать ПД, полученные им и (или) его уполномоченными лицами непосредственно от субъекта ПД и (или) его представителя или иным способом, не запрещённым законом.
3.2. При сборе П Д Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, прямо предусмотренных действующим законодательством РФ о ПД.
3.3. Для обработки П Д Оператор может применять информационные системы, автоматизированные рабочие места, отчуждаемые машинные носители информации (например, оптические и магнито-оптические диски, флэшки, съемные жёсткие диски и т. д.), бумажные носители информации (как отдельные, так и включенные в систематизированные собрания), а также передавать ПД по внутренней сети Оператора, обеспечивающей доступ к ПД (в том числе размещенным на внутренних информационных ресурсах и (или) локальных электронных порталах Оператора) лишь для строго определенного и ограниченного Оператором круга лиц, включая работников Оператора, и (или) передавать ПД с использованием информационно-телекоммуникационных сетей (включая сеть «Интернет»).
4. ПЕРЕДАЧА ПД
4.1. Для достижения предусмотренных целей обработки П Д Оператор:
4.1.1. вправе привлекать третьих лиц к обработке ПД путем поручения третьим лицам обработки ПД и (или) путем получения Персональных данных от третьих лиц и передачи ПД третьим лицам без поручения обработки ПД, в том числе осуществлять трансграничную передачу ПД третьим лицам на территорию иностранных государств при условии проведения предварительной оценки мер, принимаемых третьим лицом, которому планируется трансграничная передача ПД, по обеспечению безопасности и конфиденциальности ПД, а также соблюдения условий и запретов трансграничной передачи, установленных применимым законодательством. Привлечение третьих лиц к обработке ПД может осуществляться только при условии обработки такими лицами ПД в минимально необходимом составе и исключительно для достижения предусмотренных целей обработки ПД, а также при условии обеспечения такими лицами конфиденциальности и безопасности ПД при их обработке (в случае неисполнения третьими лицами данных условий указанные лица будут нести ответственность на основании своих договорных обязательств перед Оператором и (или) в соответствии с положениями применимого законодательства). К таким третьим лицам, в частности, могут относиться:
(1) лица, обладающие правом в предусмотренных применимым законодательством случаях на получение ПД в составе, необходимом для осуществления и выполнения возложенных на таких лиц функций, полномочий и обязанностей;
(2) лица, в пользу которых Оператором может быть произведена уступка прав и (или) обязанностей в отношении предусмотренных Документом целей обработки ПД;
(3) правопреемники (инвесторы) Оператора и (или) его аффилированные лица, если Оператор и (или) его аффилированные лица будут вовлечены в сделки по реорганизации, слиянию, поглощению, ликвидации или отчуждению активов;
(4) иные лица, с которыми оператор взаимодействует или может взаимодействовать для достижения предусмотренных целей обработки ПД.
4.2. Фактический состав привлекаемых Оператором третьих лиц к обработке ПД определяется исходя из сложившихся отношений между Оператором и субъектом ПД, а также в соответствии с положениями применимого законодательства, договоров между Оператором и субъектом ПД, согласия (ий) субъекта ПД на обработку ПД.
4.3. Оператор может создавать общедоступные источники ПД и (или) осуществлять распространение ПД только с согласия субъекта ПД или на основании требований применимого законодательства.
5. ПОРЯДОК ПРЕКРАЩЕНИЯ ОБРАБОТКИ (УНИЧТОЖЕНИЯ) ПД
5.1. Оператор установил следующие условия прекращения обработки ПД:
5.1.1. достижение целей обработки ПД и максимальных сроков хранения ПД;
5.1.2. утрата необходимости в достижении целей обработки ПД;
5.1.3. выявление неправомерной обработки ПД, в том числе факта незаконного получения ПД или отсутствия необходимости ПД для заявленной цели обработки ПД;
5.1.4. невозможность обеспечения правомерности обработки ПД;
5.1.5. отзыв субъектом ПД согласия на обработку ПД, если сохранение ПД более не требуется для целей обработки ПД;
5.1.6. требование субъекта ПД к Оператору о прекращении обработки ПД, за исключением случаев, предусмотренных законодательством;
5.1.7. истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка ПД;
5.1.8. ликвидация или реорганизация Оператора;
5.2. При невозможности уничтожения ПД в сроки, определенные 152-ФЗ для случаев, когда невозможно обеспечить правомерность обработки ПД, при достижении целей обработки ПД, а также при отзыве субъектом согласия на обработку ПД и (или) получении Оператором требования субъекта ПД о прекращении обработки ПД, если сохранение ПД более не требуется для целей обработки ПД, Оператор осуществляет блокирование ПД и уничтожает ПД в течение 6 (Шести) месяцев, если иной срок не установлен применимым законодательством.
5.3. Уничтожение П Д производится способом, исключающим возможность восстановления этих ПД. Если П Д невозможно уничтожить без такого повреждения их материального носителя, которое будет препятствовать его дальнейшему использованию по назначению, то уничтожению подлежат и ПД, и их материальный носитель.
5.4. Подтверждение факта уничтожения ПД осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД.
6. МЕРЫ ПО НАДЛЕЖАЩЕЙ ОРГАНИЗАЦИИ ОБРАБОТКИ И ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПД
6.1. Оператор при обработке ПД принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности ПД достигается, в частности, следующими мерами (с учетом их применимости в зависимости от способа и особенностей обработки ПД):
6.1.1. назначением лица, ответственного за организацию обработки ПД, а также назначением лиц (а), ответственных (ого) за обеспечение безопасности ПД при их обработке в ИСПД (если применимо);
6.1.2. изданием документов, определяющих политику Оператора в отношении обработки ПД, локальных нормативных актов Оператора по вопросам обработки ПД, определяющих для каждой цели обработки ПД категории и перечень обрабатываемых ПД, категории субъектов, ПД которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПД при достижении целей их обработки или при наступлении иных законных оснований, а также локальных нормативных актов Оператора, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства о ПД, устранение последствий таких нарушений. Такие документы и локальные нормативные акты не могут содержать положения, ограничивающие права субъектов ПД, а также возлагающие на Оператора не предусмотренные законодательством о ПД полномочия и обязанности;
6.1.3. осуществлением внутреннего контроля и (или) аудита соответствия обработки ПД требованиям 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, политике Оператора в отношении обработки ПД, локальным нормативным актам Оператора;
6.1.4. осуществлением оценки вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД в РФ, который может быть причинен субъектам в случае нарушения требований применимого законодательства о ПД, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных требованиям применимого законодательства о ПД;
6.1.5. ознакомлением лиц, привлеченных (допущенных) Оператором к обработке ПД, с требованиями применимого законодательства о ПД, в том числе требованиями к защите ПД, документами, определяющими политику Оператора в отношении обработки ПД, локальными нормативными актами по вопросам обработки ПД, и (или) обучение указанных лиц;
6.1.6. определением угроз безопасности ПД, которые могут возникнуть при их обработке в ИСПД;
6.1.7. применением организационных и (или) технических мер по обеспечению безопасности ПД при их обработке, в том числе в ИСПД, необходимых для обеспечения постоянной конфиденциальности, целостности, доступности и устойчивости процессов и (или) систем, связанных с обработкой ПД;
6.1.8. применением прошедших в установленном порядке процедуру оценки соответствия СЗИ, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности ПД и информационных технологий, используемых в ИСПД;
6.1.9. оценкой эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию ИСПД;
6.1.10. определением мест хранения материальных (в том числе машинных) носителей ПД, обеспечением учета и сохранности носителей ПД, исключением несанкционированного доступ к носителям ПД, а также раздельным хранением ПД (материальных носителей), обработка которых осуществляется в различных целях;
6.1.11. воспрещением объединения баз с ИСПД или фиксации ПД на одном материальном носителе, если обработка ПД осуществляется в несовместимых между собой целях;
6.1.12. обнаружением фактов несанкционированного доступа к ИСПД и принятием надлежащих мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПД, связанные с обработкой ПД, и по реагированию на компьютерные инциденты в них;
6.1.13. восстановлением ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
6.1.14. установлением правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечением регистрации и учета всех действий, совершаемых с ПД в ИСПД;
6.1.15. контролем за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности ИСПД;
6.1.16. установлением и утверждением перечня лиц (должностей), привлеченных (допущенных) Оператором к автоматизированной и (или) неавтоматизированной обработке ПД, в том числе в ИСПД, и ограничением доступа к ПД для иных лиц;
6.1.17. информированием лиц, привлеченных (допущенных) Оператором к обработке ПД без использования средств автоматизации, о факте обработки указанными лицами ПД, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых ПД, категориях субъектов, а также об особенностях и правилах осуществления такой обработки, предусмотренные применимым законодательством о ПД и подзаконными нормативными правовыми актами, а также локальными нормативными актами Оператора;
6.1.18. организацией режима безопасности помещений, в которых осуществляется обработка ПД и (или) размещены программно-аппаратные средства, используемые для обработки ПД, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
6.1.19. уничтожением ПД способом, исключающим последующее восстановление и дальнейшую обработку ПД, а также подтверждением уничтожения ПД в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД в РФ;
6.2. Сведения о средствах (способах) обеспечения безопасности ПД при их обработке:
6.2.1. формирование модели (ей) актуальных (предполагаемых) угроз безопасности ПД при их обработке в ИСПД;
6.2.2. разработка на основе модели (ей) угроз системы защиты ПД, обеспечивающей нейтрализацию угроз с использованием методов и способов защиты ПД, предусмотренных для соответствующих уровней защищенности ИСПД;
6.2.3. установка и ввод в эксплуатацию СЗИ в соответствии с эксплуатационной и технической документацией;
6.2.4. обучение лиц, использующих СЗИ, применяемые в ИСПД, правилам работы с ними;
6.2.5. учет применяемых СЗИ, эксплуатационной и технической документации к ним;
6.2.6. учет лиц, допущенных к работе с ПД, в том числе в ИСПД;
6.2.7. контроль за соблюдением условий использования СЗИ, предусмотренных эксплуатационной и технической документацией;
6.2.8. проведение проведения служебных проверок и (или) внутренних расследований по фактам несоблюдения условий хранения материальных (в том числе машинных) ПД, использования СЗИ, которые могут привести к нарушению конфиденциальности ПД (инциденту с ПД) или другим нарушениям, приводящим к снижению уровня защищенности ПД.
6.3. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД, Оператор в предусмотренном законодательством о ПД порядке и в соответствующие сроки уведомляет об указанном факте уполномоченный орган по защите прав субъектов ПД.
6.4. Оператор обеспечивает взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), включая информирование федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД.
7. ЛИЦО, ОТВЕТСТВЕННОЕ ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПД
7.1. Права, обязанности и юридическая ответственность лица, ответственного за организацию обработки ПД, установлены ст. 22.1 152-ФЗ и локальными нормативными актами Оператора в сфере обработки и защиты ПД.
7.2. Назначение лица, ответственного за организацию обработки ПД, и его освобождение от указанных обязанностей осуществляется решением Оператора. При назначении лица, ответственного за организацию обработки ПД, учитываются полномочия, компетенции и личностные качества лица, призванные позволить ему надлежащим образом и в полном объеме реализовывать свои права и выполнять обязанности.
7.3. Лицо, ответственное за организацию обработки ПД:
7.3.1. организует осуществление внутреннего контроля над соблюдением Оператором применимого законодательства о ПД, в том числе требований к защите ПД;
7.3.2. обеспечивает доведение до сведения лиц, осуществляющих обработку ПД в предусмотренных Оператором целях, положения применимого законодательства о ПД, локальных нормативных актов Оператора по вопросам обработки ПД, требований к защите ПД;
7.3.3. осуществляет контроль над приемом и обработкой обращений и запросов субъектов ПД или их представителей.
8. ЛИЦО, ОТВЕТСТВЕННОЕ ЗА ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПД В ИСПД
8.1. Для каждой из ИСПД Оператора руководителем Оператора ИСПД назначается должностное лицо, ответственное за обеспечение безопасности ПД при их обработке в данной ИСПД. При этом одно должностное лицо может являться ответственным за обеспечение безопасности ПД при их обработке в нескольких ИСПД.
8.2. Лицо, ответственное за обеспечение безопасности ПД в ИСПД, отвечает за сохранность ПД в ИСПД, принятие и обеспечение технических мер защиты ПД в ИСПД, содействует предотвращению компьютерных инцидентов с ПД и участвует в расследовании компьютерных инцидентов с ПД.
9. ПРАВА СУБЪЕКТОВ ПД
9.1. Субъект П Д имеет право на получение сведений об обработке его П Д Оператором.
9.2. Субъект П Д вправе требовать от Оператора уточнения этих ПД, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.3. Право субъекта ПД на доступ к его ПД может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта ПД к его ПД нарушает права и законные интересы третьих лиц.
9.4. Субъект П Д вправе в любое время полностью или в какой-либо части отозвать ранее предоставленное (ые) Оператору согласия на обработку ПД и (или) обратиться к Оператору с требованием о прекращении обработки ПД, за исключением случаев, когда обработка ПД предусмотрена п.п.2−11 ч.1 ст. 6, ч.2 ст. 10 и ч.2 ст. 11 152-ФЗ. Указанные в настоящем пункте права могут быть реализованы путем направления Оператору обращения.
9.5. Для реализации и защиты своих прав и законных интересов субъект ПД или его представители имеют право обратиться к Оператору любым удобным и возможным для них способом.
9.6. Оператор рассматривает любые обращения и жалобы со стороны субъектов ПД, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
9.7. Субъект П Д вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов ПД.
9.8. Субъект П Д имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
10. ДОСТУП К ПОЛИТИКЕ И КОММУНИКАЦИЯ С ОПЕРАТОРОМ
10.1. Действующая редакция Политики на бумажном носителе хранится в месте нахождения Оператора по адресу исполнительного органа Оператора (см. п. 1.4 Политики), а электронная версия Политики опубликована на соответствующем Интернет-ресурсе techcommit.ru/policy.
10.2. В случае возникновения у субъекта ПД каких-либо вопросов в отношении обработки его ПД или положений Политики, он может обратиться к Оператору любым из предусмотренных способов (личное письменное или устное обращение к уполномоченному представителю Оператора; почтовое направление письменного обращения по адресу Оператора; направление обращения на электронный адрес privacy@techcommit.ru в форме скан-копии подписанного субъектом ПД письменного обращения) в произвольной форме, позволяющей идентифицировать обращающегося субъекта ПД.
11. ПОРЯДОК УТВЕРЖДЕНИЯ И ВНЕСЕНИЯ ИЗМЕНЕНИЙ В ПОЛИТИКУ
11.1. Политика утверждается и вводится в действие решением Оператора и действует до ее отмены.
11.2. Оператор имеет право по мере необходимости вносить изменения в Политику (далее — «Изменения»). Изменения утверждаются решением Оператора.
11.3. Политика пересматривается по мере необходимости, но не реже одного раза в три года с момента проведения предыдущего пересмотра Политики. В таком случае измененная редакция Политики публикуется на Интернет-ресурсе techcommit.ru/policy или иным образом обеспечивается доступ к Политике с указанием срока начала ее действия.
11.4. Политика может пересматриваться ранее срока, указанного в Политике, по мере внесения изменений:
(1) в нормативные правовые акты РФ в сфере ПД;
(2) в локальные нормативные и индивидуальные акты Оператора, регламентирующие организацию обработки и обеспечение безопасности ПД;
(3) в договоры и соглашения, регламентирующие правоотношения Оператора с контрагентами и иными лицами;
(4) в порядок организации Оператором обработки и обеспечения безопасности ПД.
12. ОТВЕТСТВЕННОСТЬ
12.1. Лица, виновные в нарушении норм, регулирующих обработку и защиту ПД, несут ответственность, предусмотренную законодательством РФ, локальными нормативными актами Оператора и договорами, регламентирующими правоотношения Оператора с третьими лицами.
2.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки ПД, указанных в ст. 5 152-ФЗ.
2.2. Оператор осуществляет целенаправленную обработку ПД в соответствии с применимым законодательством о ПД.
2.3. Описание целей обработки ПД, состава обрабатываемых ПД, категорий субъектов, ПД которых обрабатываются, правовых оснований такой обработки, а также сроках их обработки и хранения, способы обработки и действия изложены в Приложении № 1 к настоящей Политике.
2.4. Полное справочно-информационное описание обработки ПД отражается в локальных нормативных актах Оператора и соответствующих согласиях. Субъект П Д или его законные представители имеют право обратиться к Оператору с запросом в целях реализации и защиты своих прав и законных интересов по адресу места нахождения исполнительного органа Оператора.
3. ОСОБЕННОСТИ СБОРА И ИНОЙ ОБРАБОТКИ ПД
3.1. Оператор может обрабатывать ПД, полученные им и (или) его уполномоченными лицами непосредственно от субъекта ПД и (или) его представителя или иным способом, не запрещённым законом.
3.2. При сборе П Д Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, прямо предусмотренных действующим законодательством РФ о ПД.
3.3. Для обработки П Д Оператор может применять информационные системы, автоматизированные рабочие места, отчуждаемые машинные носители информации (например, оптические и магнито-оптические диски, флэшки, съемные жёсткие диски и т. д.), бумажные носители информации (как отдельные, так и включенные в систематизированные собрания), а также передавать ПД по внутренней сети Оператора, обеспечивающей доступ к ПД (в том числе размещенным на внутренних информационных ресурсах и (или) локальных электронных порталах Оператора) лишь для строго определенного и ограниченного Оператором круга лиц, включая работников Оператора, и (или) передавать ПД с использованием информационно-телекоммуникационных сетей (включая сеть «Интернет»).
4. ПЕРЕДАЧА ПД
4.1. Для достижения предусмотренных целей обработки П Д Оператор:
4.1.1. вправе привлекать третьих лиц к обработке ПД путем поручения третьим лицам обработки ПД и (или) путем получения Персональных данных от третьих лиц и передачи ПД третьим лицам без поручения обработки ПД, в том числе осуществлять трансграничную передачу ПД третьим лицам на территорию иностранных государств при условии проведения предварительной оценки мер, принимаемых третьим лицом, которому планируется трансграничная передача ПД, по обеспечению безопасности и конфиденциальности ПД, а также соблюдения условий и запретов трансграничной передачи, установленных применимым законодательством. Привлечение третьих лиц к обработке ПД может осуществляться только при условии обработки такими лицами ПД в минимально необходимом составе и исключительно для достижения предусмотренных целей обработки ПД, а также при условии обеспечения такими лицами конфиденциальности и безопасности ПД при их обработке (в случае неисполнения третьими лицами данных условий указанные лица будут нести ответственность на основании своих договорных обязательств перед Оператором и (или) в соответствии с положениями применимого законодательства). К таким третьим лицам, в частности, могут относиться:
(1) лица, обладающие правом в предусмотренных применимым законодательством случаях на получение ПД в составе, необходимом для осуществления и выполнения возложенных на таких лиц функций, полномочий и обязанностей;
(2) лица, в пользу которых Оператором может быть произведена уступка прав и (или) обязанностей в отношении предусмотренных Документом целей обработки ПД;
(3) правопреемники (инвесторы) Оператора и (или) его аффилированные лица, если Оператор и (или) его аффилированные лица будут вовлечены в сделки по реорганизации, слиянию, поглощению, ликвидации или отчуждению активов;
(4) иные лица, с которыми оператор взаимодействует или может взаимодействовать для достижения предусмотренных целей обработки ПД.
4.2. Фактический состав привлекаемых Оператором третьих лиц к обработке ПД определяется исходя из сложившихся отношений между Оператором и субъектом ПД, а также в соответствии с положениями применимого законодательства, договоров между Оператором и субъектом ПД, согласия (ий) субъекта ПД на обработку ПД.
4.3. Оператор может создавать общедоступные источники ПД и (или) осуществлять распространение ПД только с согласия субъекта ПД или на основании требований применимого законодательства.
5. ПОРЯДОК ПРЕКРАЩЕНИЯ ОБРАБОТКИ (УНИЧТОЖЕНИЯ) ПД
5.1. Оператор установил следующие условия прекращения обработки ПД:
5.1.1. достижение целей обработки ПД и максимальных сроков хранения ПД;
5.1.2. утрата необходимости в достижении целей обработки ПД;
5.1.3. выявление неправомерной обработки ПД, в том числе факта незаконного получения ПД или отсутствия необходимости ПД для заявленной цели обработки ПД;
5.1.4. невозможность обеспечения правомерности обработки ПД;
5.1.5. отзыв субъектом ПД согласия на обработку ПД, если сохранение ПД более не требуется для целей обработки ПД;
5.1.6. требование субъекта ПД к Оператору о прекращении обработки ПД, за исключением случаев, предусмотренных законодательством;
5.1.7. истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка ПД;
5.1.8. ликвидация или реорганизация Оператора;
5.2. При невозможности уничтожения ПД в сроки, определенные 152-ФЗ для случаев, когда невозможно обеспечить правомерность обработки ПД, при достижении целей обработки ПД, а также при отзыве субъектом согласия на обработку ПД и (или) получении Оператором требования субъекта ПД о прекращении обработки ПД, если сохранение ПД более не требуется для целей обработки ПД, Оператор осуществляет блокирование ПД и уничтожает ПД в течение 6 (Шести) месяцев, если иной срок не установлен применимым законодательством.
5.3. Уничтожение П Д производится способом, исключающим возможность восстановления этих ПД. Если П Д невозможно уничтожить без такого повреждения их материального носителя, которое будет препятствовать его дальнейшему использованию по назначению, то уничтожению подлежат и ПД, и их материальный носитель.
5.4. Подтверждение факта уничтожения ПД осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД.
6. МЕРЫ ПО НАДЛЕЖАЩЕЙ ОРГАНИЗАЦИИ ОБРАБОТКИ И ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПД
6.1. Оператор при обработке ПД принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности ПД достигается, в частности, следующими мерами (с учетом их применимости в зависимости от способа и особенностей обработки ПД):
6.1.1. назначением лица, ответственного за организацию обработки ПД, а также назначением лиц (а), ответственных (ого) за обеспечение безопасности ПД при их обработке в ИСПД (если применимо);
6.1.2. изданием документов, определяющих политику Оператора в отношении обработки ПД, локальных нормативных актов Оператора по вопросам обработки ПД, определяющих для каждой цели обработки ПД категории и перечень обрабатываемых ПД, категории субъектов, ПД которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПД при достижении целей их обработки или при наступлении иных законных оснований, а также локальных нормативных актов Оператора, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства о ПД, устранение последствий таких нарушений. Такие документы и локальные нормативные акты не могут содержать положения, ограничивающие права субъектов ПД, а также возлагающие на Оператора не предусмотренные законодательством о ПД полномочия и обязанности;
6.1.3. осуществлением внутреннего контроля и (или) аудита соответствия обработки ПД требованиям 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, политике Оператора в отношении обработки ПД, локальным нормативным актам Оператора;
6.1.4. осуществлением оценки вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД в РФ, который может быть причинен субъектам в случае нарушения требований применимого законодательства о ПД, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных требованиям применимого законодательства о ПД;
6.1.5. ознакомлением лиц, привлеченных (допущенных) Оператором к обработке ПД, с требованиями применимого законодательства о ПД, в том числе требованиями к защите ПД, документами, определяющими политику Оператора в отношении обработки ПД, локальными нормативными актами по вопросам обработки ПД, и (или) обучение указанных лиц;
6.1.6. определением угроз безопасности ПД, которые могут возникнуть при их обработке в ИСПД;
6.1.7. применением организационных и (или) технических мер по обеспечению безопасности ПД при их обработке, в том числе в ИСПД, необходимых для обеспечения постоянной конфиденциальности, целостности, доступности и устойчивости процессов и (или) систем, связанных с обработкой ПД;
6.1.8. применением прошедших в установленном порядке процедуру оценки соответствия СЗИ, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности ПД и информационных технологий, используемых в ИСПД;
6.1.9. оценкой эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию ИСПД;
6.1.10. определением мест хранения материальных (в том числе машинных) носителей ПД, обеспечением учета и сохранности носителей ПД, исключением несанкционированного доступ к носителям ПД, а также раздельным хранением ПД (материальных носителей), обработка которых осуществляется в различных целях;
6.1.11. воспрещением объединения баз с ИСПД или фиксации ПД на одном материальном носителе, если обработка ПД осуществляется в несовместимых между собой целях;
6.1.12. обнаружением фактов несанкционированного доступа к ИСПД и принятием надлежащих мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПД, связанные с обработкой ПД, и по реагированию на компьютерные инциденты в них;
6.1.13. восстановлением ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
6.1.14. установлением правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечением регистрации и учета всех действий, совершаемых с ПД в ИСПД;
6.1.15. контролем за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности ИСПД;
6.1.16. установлением и утверждением перечня лиц (должностей), привлеченных (допущенных) Оператором к автоматизированной и (или) неавтоматизированной обработке ПД, в том числе в ИСПД, и ограничением доступа к ПД для иных лиц;
6.1.17. информированием лиц, привлеченных (допущенных) Оператором к обработке ПД без использования средств автоматизации, о факте обработки указанными лицами ПД, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых ПД, категориях субъектов, а также об особенностях и правилах осуществления такой обработки, предусмотренные применимым законодательством о ПД и подзаконными нормативными правовыми актами, а также локальными нормативными актами Оператора;
6.1.18. организацией режима безопасности помещений, в которых осуществляется обработка ПД и (или) размещены программно-аппаратные средства, используемые для обработки ПД, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
6.1.19. уничтожением ПД способом, исключающим последующее восстановление и дальнейшую обработку ПД, а также подтверждением уничтожения ПД в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД в РФ;
6.2. Сведения о средствах (способах) обеспечения безопасности ПД при их обработке:
6.2.1. формирование модели (ей) актуальных (предполагаемых) угроз безопасности ПД при их обработке в ИСПД;
6.2.2. разработка на основе модели (ей) угроз системы защиты ПД, обеспечивающей нейтрализацию угроз с использованием методов и способов защиты ПД, предусмотренных для соответствующих уровней защищенности ИСПД;
6.2.3. установка и ввод в эксплуатацию СЗИ в соответствии с эксплуатационной и технической документацией;
6.2.4. обучение лиц, использующих СЗИ, применяемые в ИСПД, правилам работы с ними;
6.2.5. учет применяемых СЗИ, эксплуатационной и технической документации к ним;
6.2.6. учет лиц, допущенных к работе с ПД, в том числе в ИСПД;
6.2.7. контроль за соблюдением условий использования СЗИ, предусмотренных эксплуатационной и технической документацией;
6.2.8. проведение проведения служебных проверок и (или) внутренних расследований по фактам несоблюдения условий хранения материальных (в том числе машинных) ПД, использования СЗИ, которые могут привести к нарушению конфиденциальности ПД (инциденту с ПД) или другим нарушениям, приводящим к снижению уровня защищенности ПД.
6.3. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД, Оператор в предусмотренном законодательством о ПД порядке и в соответствующие сроки уведомляет об указанном факте уполномоченный орган по защите прав субъектов ПД.
6.4. Оператор обеспечивает взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), включая информирование федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД.
7. ЛИЦО, ОТВЕТСТВЕННОЕ ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПД
7.1. Права, обязанности и юридическая ответственность лица, ответственного за организацию обработки ПД, установлены ст. 22.1 152-ФЗ и локальными нормативными актами Оператора в сфере обработки и защиты ПД.
7.2. Назначение лица, ответственного за организацию обработки ПД, и его освобождение от указанных обязанностей осуществляется решением Оператора. При назначении лица, ответственного за организацию обработки ПД, учитываются полномочия, компетенции и личностные качества лица, призванные позволить ему надлежащим образом и в полном объеме реализовывать свои права и выполнять обязанности.
7.3. Лицо, ответственное за организацию обработки ПД:
7.3.1. организует осуществление внутреннего контроля над соблюдением Оператором применимого законодательства о ПД, в том числе требований к защите ПД;
7.3.2. обеспечивает доведение до сведения лиц, осуществляющих обработку ПД в предусмотренных Оператором целях, положения применимого законодательства о ПД, локальных нормативных актов Оператора по вопросам обработки ПД, требований к защите ПД;
7.3.3. осуществляет контроль над приемом и обработкой обращений и запросов субъектов ПД или их представителей.
8. ЛИЦО, ОТВЕТСТВЕННОЕ ЗА ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПД В ИСПД
8.1. Для каждой из ИСПД Оператора руководителем Оператора ИСПД назначается должностное лицо, ответственное за обеспечение безопасности ПД при их обработке в данной ИСПД. При этом одно должностное лицо может являться ответственным за обеспечение безопасности ПД при их обработке в нескольких ИСПД.
8.2. Лицо, ответственное за обеспечение безопасности ПД в ИСПД, отвечает за сохранность ПД в ИСПД, принятие и обеспечение технических мер защиты ПД в ИСПД, содействует предотвращению компьютерных инцидентов с ПД и участвует в расследовании компьютерных инцидентов с ПД.
9. ПРАВА СУБЪЕКТОВ ПД
9.1. Субъект П Д имеет право на получение сведений об обработке его П Д Оператором.
9.2. Субъект П Д вправе требовать от Оператора уточнения этих ПД, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.3. Право субъекта ПД на доступ к его ПД может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта ПД к его ПД нарушает права и законные интересы третьих лиц.
9.4. Субъект П Д вправе в любое время полностью или в какой-либо части отозвать ранее предоставленное (ые) Оператору согласия на обработку ПД и (или) обратиться к Оператору с требованием о прекращении обработки ПД, за исключением случаев, когда обработка ПД предусмотрена п.п.2−11 ч.1 ст. 6, ч.2 ст. 10 и ч.2 ст. 11 152-ФЗ. Указанные в настоящем пункте права могут быть реализованы путем направления Оператору обращения.
9.5. Для реализации и защиты своих прав и законных интересов субъект ПД или его представители имеют право обратиться к Оператору любым удобным и возможным для них способом.
9.6. Оператор рассматривает любые обращения и жалобы со стороны субъектов ПД, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
9.7. Субъект П Д вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов ПД.
9.8. Субъект П Д имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
10. ДОСТУП К ПОЛИТИКЕ И КОММУНИКАЦИЯ С ОПЕРАТОРОМ
10.1. Действующая редакция Политики на бумажном носителе хранится в месте нахождения Оператора по адресу исполнительного органа Оператора (см. п. 1.4 Политики), а электронная версия Политики опубликована на соответствующем Интернет-ресурсе techcommit.ru/policy.
10.2. В случае возникновения у субъекта ПД каких-либо вопросов в отношении обработки его ПД или положений Политики, он может обратиться к Оператору любым из предусмотренных способов (личное письменное или устное обращение к уполномоченному представителю Оператора; почтовое направление письменного обращения по адресу Оператора; направление обращения на электронный адрес privacy@techcommit.ru в форме скан-копии подписанного субъектом ПД письменного обращения) в произвольной форме, позволяющей идентифицировать обращающегося субъекта ПД.
11. ПОРЯДОК УТВЕРЖДЕНИЯ И ВНЕСЕНИЯ ИЗМЕНЕНИЙ В ПОЛИТИКУ
11.1. Политика утверждается и вводится в действие решением Оператора и действует до ее отмены.
11.2. Оператор имеет право по мере необходимости вносить изменения в Политику (далее — «Изменения»). Изменения утверждаются решением Оператора.
11.3. Политика пересматривается по мере необходимости, но не реже одного раза в три года с момента проведения предыдущего пересмотра Политики. В таком случае измененная редакция Политики публикуется на Интернет-ресурсе techcommit.ru/policy или иным образом обеспечивается доступ к Политике с указанием срока начала ее действия.
11.4. Политика может пересматриваться ранее срока, указанного в Политике, по мере внесения изменений:
(1) в нормативные правовые акты РФ в сфере ПД;
(2) в локальные нормативные и индивидуальные акты Оператора, регламентирующие организацию обработки и обеспечение безопасности ПД;
(3) в договоры и соглашения, регламентирующие правоотношения Оператора с контрагентами и иными лицами;
(4) в порядок организации Оператором обработки и обеспечения безопасности ПД.
12. ОТВЕТСТВЕННОСТЬ
12.1. Лица, виновные в нарушении норм, регулирующих обработку и защиту ПД, несут ответственность, предусмотренную законодательством РФ, локальными нормативными актами Оператора и договорами, регламентирующими правоотношения Оператора с третьими лицами.
