Политика в отношении обработки персональных данных субъектов персональных данных ООО «ДубльГИС»
- Общие положения
- Термины, определения и сокращения
- Принципы и цели обработки персональных данных
- Обработка персональных данных
- Хранение персональных данных
- Внутренний доступ к персональным данным
- Передача персональных данных
- Блокирование персональных данных
- Уничтожение персональных данных
- Обеспечение защиты персональных данных в информационных системах
- Права и обязанности субъектов персональных данных и оператора
- Требования к согласию на обработку персональных данных
- Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1 Назначение документа
1.1.1. С целью поддержания деловой репутации и обеспечения выполнения норм федерального законодательства, согласно требованиям Федерального закона от 27.07.2006 г. № 152-ФЗ «О Персональных данных», ООО «ДубльГИС» определяет важнейшими задачами: обеспечение законности обработки Персональных данных в бизнес-процессах ООО «ДубльГИС» и обеспечение надлежащего уровня безопасности обрабатываемых в ООО «ДубльГИС» Персональных данных.
1.1.2. Настоящая Политика в отношении обработки персональных данных (далее — Политика) разработана в соответствии с п. 2 ч.1 ст. 18.1 Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет основные принципы, цели, условия и способы обработки Персональных данных, права и обязанности ООО «ДубльГИС» при обработке персональных данных, права Субъектов персональных данных, а также реализуемые в ООО «ДубльГИС» меры по обеспечению безопасности Персональных данных при осуществлении установленных в Уставе видов деятельности.
1.1.3. Положения настоящей Политики служат основой для разработки локальных актов, регламентирующих в ООО «ДубльГИС» вопросы обработки Персональных данных.
1.2 Нормативные ссылки
1.2.1. Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»).
1.2.2. Федеральный закон РФ от 27.07.2006. № 149-ФЗ «Об информации, информационных технологиях и защите информации».
1.2.3. Постановление Правительства Р Ф от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
1.2.4. Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
1.3 Область действия
1.3.1. Действие настоящей Политики распространяется на все процессы ООО «ДубльГИС», в рамках которых осуществляется обработка Персональных данных, как с использованием средств вычислительной техники, в том числе с использованием информационно-телекоммуникационных сетей, так и без использования таких средств.
1.4 Утверждение и пересмотр
1.4.1. Настоящая Политика вступает в силу с момента ее утверждения Генеральным директором ООО «ДубльГИС» и действует бессрочно.
1.4.2. ООО «ДубльГИС» проводит пересмотр положений настоящей Политики и их актуализацию по мере необходимости, но не реже одного раза в три года, а также:
1.4.4. Обеспечение неограниченного доступа к Политике реализуется путем ее публикации на сайте ООО «ДубльГИС» в сети Интернет.
1.4.5. Термины, использованные в настоящей Политики с заглавной буквы, имеют значения, указанные в разделе 2 настоящей Политики, если в настоящей Политики не определено иное.
1.1 Назначение документа
1.1.1. С целью поддержания деловой репутации и обеспечения выполнения норм федерального законодательства, согласно требованиям Федерального закона от 27.07.2006 г. № 152-ФЗ «О Персональных данных», ООО «ДубльГИС» определяет важнейшими задачами: обеспечение законности обработки Персональных данных в бизнес-процессах ООО «ДубльГИС» и обеспечение надлежащего уровня безопасности обрабатываемых в ООО «ДубльГИС» Персональных данных.
1.1.2. Настоящая Политика в отношении обработки персональных данных (далее — Политика) разработана в соответствии с п. 2 ч.1 ст. 18.1 Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет основные принципы, цели, условия и способы обработки Персональных данных, права и обязанности ООО «ДубльГИС» при обработке персональных данных, права Субъектов персональных данных, а также реализуемые в ООО «ДубльГИС» меры по обеспечению безопасности Персональных данных при осуществлении установленных в Уставе видов деятельности.
1.1.3. Положения настоящей Политики служат основой для разработки локальных актов, регламентирующих в ООО «ДубльГИС» вопросы обработки Персональных данных.
1.2 Нормативные ссылки
1.2.1. Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»).
1.2.2. Федеральный закон РФ от 27.07.2006. № 149-ФЗ «Об информации, информационных технологиях и защите информации».
1.2.3. Постановление Правительства Р Ф от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
1.2.4. Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
1.3 Область действия
1.3.1. Действие настоящей Политики распространяется на все процессы ООО «ДубльГИС», в рамках которых осуществляется обработка Персональных данных, как с использованием средств вычислительной техники, в том числе с использованием информационно-телекоммуникационных сетей, так и без использования таких средств.
1.4 Утверждение и пересмотр
1.4.1. Настоящая Политика вступает в силу с момента ее утверждения Генеральным директором ООО «ДубльГИС» и действует бессрочно.
1.4.2. ООО «ДубльГИС» проводит пересмотр положений настоящей Политики и их актуализацию по мере необходимости, но не реже одного раза в три года, а также:
- при изменении требований законодательства РФ к порядку обработки и обеспечению безопасности Персональных данных;
- по результатам проверок органа по защите прав Субъектов Персональных данных, выявившим несоответствия требованиям законодательства РФ по обеспечению безопасности Персональных данных;
- в случае выявления существенных нарушений по результатам внутренних проверок системы защиты Персональных данных;
- при изменении процессов и технологий обработки Персональных данных в ООО «ДубльГИС».
1.4.4. Обеспечение неограниченного доступа к Политике реализуется путем ее публикации на сайте ООО «ДубльГИС» в сети Интернет.
1.4.5. Термины, использованные в настоящей Политики с заглавной буквы, имеют значения, указанные в разделе 2 настоящей Политики, если в настоящей Политики не определено иное.
2. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ
2.1. Аффилированное лицо — (а) в отношении лица, не являющегося физическим лицом, — любое другое лицо, прямо или косвенно Контролирующее, Контролируемое или находящееся под общим Контролем с ООО «ДубльГИС»; (b) в отношении физического лица — близкий родственник такого лица, управляющий трастом (трасти), бенефициаром которого является такое лицо или близкий родственник такого лица, и любое лицо, не являющееся физическим лицом, которое такое лицо или близкий родственник такого лица прямо или косвенно Контролирует, или которое находится под их общим Контролем. Для целей настоящего определения под Контролем понимается возможность по отношению к лицу или право другого лица (физического лица или юридического лица) прямо либо косвенно (через лицо или несколько лиц), самостоятельно или совместно с Аффилированными лицами, на основании корпоративного договора, договора доверительного управления имуществом, или в результате других сделок либо по иным основаниям: распоряжаться более чем 50% (пятьюдесятью процентами) общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный (складочный) капитал Контролируемого лица; и (или) назначать или прекращать полномочия единоличного исполнительного органа и (или) более чем 50% (пятидесяти процентов) состава коллегиального исполнительного органа Контролируемого лица и (или) избирать более чем 50% (пятьдесят процентов) состава совета директоров (наблюдательного совета) или иного коллегиального органа Контролируемого лица; и (или) определять решения или действия такого лица по всем или существенной части вопросов (фактически или юридически). Термины «Контролируемый», «Контролирует» и «Контролирующий» следует толковать соответствующим образом.
2.2. Блокирование персональных данных — временное прекращение обработки Персональных данных (за исключением случаев, если обработка необходима для уточнения Персональных данных).
2.3. Иные данные — данные, не являющиеся Персональными данными и необходимые для функционирования Сервисов 2ГИС.
2.4. Информационная система Персональных данных или ИСПДн — совокупность содержащихся в базах данных Персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.5. Контрагент — юридическое лицо, индивидуальный предприниматель, физическое лицо, заключившее или собирающееся заключить с Оператором какой-либо договор (соглашение) в своем интересе или от имени и в интересах представляемого им юридического лица / индивидуального предпринимателя / физического лица в соответствии с требованиями действующего законодательства.
2.6. Обезличивание Персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность Персональных данных конкретному Субъекту Персональных данных.
2.7. Обработка Персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с Персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Персональных данных.
2.8. Оператор или ООО «ДубльГИС» или Администрация — Общество с ограниченной ответственностью «ДубльГИС», самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку Персональных данных, а также определяющее цели обработки Персональных данных, состав Персональных данных, подлежащих обработке, действия (операции), совершаемые с Персональными данными.
2.9. Партнер — юридическое лицо, с которым у ООО «ДубльГИС» заключены договоры в рамках реализации модели продажи мест для размещения рекламы на площадках 2ГИС (в Сервисе 2ГИС) на разных территориях в отсутствии собственных бизнес-единиц на этих территориях.
2.10. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту Персональных данных), в том числе фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, должность, профессия, доходы, изображение, номер телефона и/или адрес электронной почты Субъекта Персональных данных, данные, автоматически передаваемые Оператору с помощью установленного на устройстве Субъекта Персональных данных программного обеспечения (при условии, что на основании этих данных можно идентифицировать Субъекта), в том числе IP-адрес, полученные Оператором в результате договорных или иных гражданско-правовых отношений с третьими лицами, а также при осуществлении Оператором хозяйственной деятельности (в том числе, Персональные данные Работника и/или Контрагента).
2.11. Пользователь — дееспособное физическое лицо, использующее или намеревающееся использовать Сервисы 2ГИС в своем интересе или от имени и в интересах представляемых им юридических лиц и/или индивидуальных предпринимателей, информация о которых размещена в Справочнике организаций 2ГИС.
2.12. Работник — физическое лицо, находящееся в трудовых отношениях с Оператором.
2.13. Распространение Персональных данных — действия, направленные на раскрытие Персональных данных неопределенному кругу лиц;
2.14. Сервисы 2ГИС — совокупность программных продуктов 2ГИС, объединяющих в своем составе Цифровые планы и/или Справочники организаций, а также каждая входящая в их состав или используемая совместно с ними программа для ЭВМ или база данных в отдельности, и аппаратных средств, доступ к которым предоставляется пользователям с использованием сайта; программы для ЭВМ, объединяющие в своем составе справочную информацию об ассортименте, ценах, скидках, акциях и иной информации производителей и/или продавцов товаров/ работ/ услуг. К примеру, сайты в доменах flamp.ru, 2gis.ru, 2gis. kz, 2gis. kg, 2gis. uz, 2gis. az, 2gis.com, мобильное приложение 2ГИС;
2.15. Соискатели — кандидаты на замещение вакантных должностей.
2.16. Справочник организаций — база данных электронного справочника, включающая информацию о наименованиях, местонахождении, телефонах, адресах электронной почты и сайтов, видах производимых и реализуемых товаров (выполняемых работ, оказываемых услуг) и прочие сведения об организациях и индивидуальных предпринимателях, находящихся в пределах определенной территории, совпадающей с границами совмещенного с ним Цифрового плана, а также иных организациях по усмотрению ООО «ДубльГИС».
2.17. Субъект Персональных данных (Субъект) — физическое лицо, обладающее Персональными данными прямо или косвенно его определяющими.
2.18. Уничтожение Персональных данных — действия, в результате которых становится невозможным восстановить содержание Персональных данных в информационной системе Персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.19. Цифровой план — база данных электронной карты, включающая геоинформационные данные о географических объектах и населенных пунктах в пределах территории, ограниченной определенными географическими координатами.
2.1. Аффилированное лицо — (а) в отношении лица, не являющегося физическим лицом, — любое другое лицо, прямо или косвенно Контролирующее, Контролируемое или находящееся под общим Контролем с ООО «ДубльГИС»; (b) в отношении физического лица — близкий родственник такого лица, управляющий трастом (трасти), бенефициаром которого является такое лицо или близкий родственник такого лица, и любое лицо, не являющееся физическим лицом, которое такое лицо или близкий родственник такого лица прямо или косвенно Контролирует, или которое находится под их общим Контролем. Для целей настоящего определения под Контролем понимается возможность по отношению к лицу или право другого лица (физического лица или юридического лица) прямо либо косвенно (через лицо или несколько лиц), самостоятельно или совместно с Аффилированными лицами, на основании корпоративного договора, договора доверительного управления имуществом, или в результате других сделок либо по иным основаниям: распоряжаться более чем 50% (пятьюдесятью процентами) общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный (складочный) капитал Контролируемого лица; и (или) назначать или прекращать полномочия единоличного исполнительного органа и (или) более чем 50% (пятидесяти процентов) состава коллегиального исполнительного органа Контролируемого лица и (или) избирать более чем 50% (пятьдесят процентов) состава совета директоров (наблюдательного совета) или иного коллегиального органа Контролируемого лица; и (или) определять решения или действия такого лица по всем или существенной части вопросов (фактически или юридически). Термины «Контролируемый», «Контролирует» и «Контролирующий» следует толковать соответствующим образом.
2.2. Блокирование персональных данных — временное прекращение обработки Персональных данных (за исключением случаев, если обработка необходима для уточнения Персональных данных).
2.3. Иные данные — данные, не являющиеся Персональными данными и необходимые для функционирования Сервисов 2ГИС.
2.4. Информационная система Персональных данных или ИСПДн — совокупность содержащихся в базах данных Персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.5. Контрагент — юридическое лицо, индивидуальный предприниматель, физическое лицо, заключившее или собирающееся заключить с Оператором какой-либо договор (соглашение) в своем интересе или от имени и в интересах представляемого им юридического лица / индивидуального предпринимателя / физического лица в соответствии с требованиями действующего законодательства.
2.6. Обезличивание Персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность Персональных данных конкретному Субъекту Персональных данных.
2.7. Обработка Персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с Персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Персональных данных.
2.8. Оператор или ООО «ДубльГИС» или Администрация — Общество с ограниченной ответственностью «ДубльГИС», самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку Персональных данных, а также определяющее цели обработки Персональных данных, состав Персональных данных, подлежащих обработке, действия (операции), совершаемые с Персональными данными.
2.9. Партнер — юридическое лицо, с которым у ООО «ДубльГИС» заключены договоры в рамках реализации модели продажи мест для размещения рекламы на площадках 2ГИС (в Сервисе 2ГИС) на разных территориях в отсутствии собственных бизнес-единиц на этих территориях.
2.10. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту Персональных данных), в том числе фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, должность, профессия, доходы, изображение, номер телефона и/или адрес электронной почты Субъекта Персональных данных, данные, автоматически передаваемые Оператору с помощью установленного на устройстве Субъекта Персональных данных программного обеспечения (при условии, что на основании этих данных можно идентифицировать Субъекта), в том числе IP-адрес, полученные Оператором в результате договорных или иных гражданско-правовых отношений с третьими лицами, а также при осуществлении Оператором хозяйственной деятельности (в том числе, Персональные данные Работника и/или Контрагента).
2.11. Пользователь — дееспособное физическое лицо, использующее или намеревающееся использовать Сервисы 2ГИС в своем интересе или от имени и в интересах представляемых им юридических лиц и/или индивидуальных предпринимателей, информация о которых размещена в Справочнике организаций 2ГИС.
2.12. Работник — физическое лицо, находящееся в трудовых отношениях с Оператором.
2.13. Распространение Персональных данных — действия, направленные на раскрытие Персональных данных неопределенному кругу лиц;
2.14. Сервисы 2ГИС — совокупность программных продуктов 2ГИС, объединяющих в своем составе Цифровые планы и/или Справочники организаций, а также каждая входящая в их состав или используемая совместно с ними программа для ЭВМ или база данных в отдельности, и аппаратных средств, доступ к которым предоставляется пользователям с использованием сайта; программы для ЭВМ, объединяющие в своем составе справочную информацию об ассортименте, ценах, скидках, акциях и иной информации производителей и/или продавцов товаров/ работ/ услуг. К примеру, сайты в доменах flamp.ru, 2gis.ru, 2gis. kz, 2gis. kg, 2gis. uz, 2gis. az, 2gis.com, мобильное приложение 2ГИС;
2.15. Соискатели — кандидаты на замещение вакантных должностей.
2.16. Справочник организаций — база данных электронного справочника, включающая информацию о наименованиях, местонахождении, телефонах, адресах электронной почты и сайтов, видах производимых и реализуемых товаров (выполняемых работ, оказываемых услуг) и прочие сведения об организациях и индивидуальных предпринимателях, находящихся в пределах определенной территории, совпадающей с границами совмещенного с ним Цифрового плана, а также иных организациях по усмотрению ООО «ДубльГИС».
2.17. Субъект Персональных данных (Субъект) — физическое лицо, обладающее Персональными данными прямо или косвенно его определяющими.
2.18. Уничтожение Персональных данных — действия, в результате которых становится невозможным восстановить содержание Персональных данных в информационной системе Персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.19. Цифровой план — база данных электронной карты, включающая геоинформационные данные о географических объектах и населенных пунктах в пределах территории, ограниченной определенными географическими координатами.
3. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. При организации обработки Персональных данных Субъектов Персональных данных ООО «ДубльГИС» руководствуется следующими принципами:
• законности целей и способов обработки Персональных данных;
• добросовестности и справедливости;
• обработки только Персональных данных, которые отвечают целям их обработки;
• обеспечения точности Персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки Персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных, или неточных данных;
• соответствия целей обработки Персональных данных целям, заранее определенным и заявленным при сборе Персональных данных, а также полномочиям Оператора;
• соответствия содержания и объема обрабатываемых Персональных данных, способов обработки Персональных данных заявленным целям обработки. Обрабатываемые Персональные данные не являются избыточными по отношению к заявленным целям обработки;
• достоверности Персональных данных, их достаточности для целей обработки, недопустимости обработки Персональных данных, избыточных по отношению к целям, заявленным при сборе Персональных данных;
• недопустимости объединения баз данных, содержащих Персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• хранения Персональных данных в форме, позволяющей определить Субъекта Персональных данных, не дольше, чем этого требуют цели их обработки. Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
3.2. Для каждой категории Субъектов Персональных данных определены цели обработки Персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных.
3.3. Реестр процессов, в которых осуществляется обработка персональных данных (далее — реестр процессов) актуализируется на регулярной основе, дополняется и обновляется владельцами процессов по согласованию с лицом, ответственным за организацию обработки Персональных данных.
3.4. Актуальный реестра процессов утверждается приказом руководителя общества не реже одного раза в год.
3.5. Информация об актуальных процессах обработки Персональных данных отражается в Реестре процессов, после чего используется для:
• формирования или актуализации внутренних локальных документов, связанных с обработкой и защитой персональных данных и другой локальной документации, касающейся обработки Персональных данных;
• направления Уведомления или Информационного письма в Роскомнадзор;
• разработки внутренних нормативных документов Компании;
• выстраивания системы защиты и обработки Персональных данных;
• проведения внутренних аудитов процессов обработки и защиты Персональных данных;
• подготовки ответов на запросы субъектов Персональных данных, их представителей и уполномоченных органов;
• в иных целях, связанных с обработкой и защитой персональных данных.
3.1. При организации обработки Персональных данных Субъектов Персональных данных ООО «ДубльГИС» руководствуется следующими принципами:
• законности целей и способов обработки Персональных данных;
• добросовестности и справедливости;
• обработки только Персональных данных, которые отвечают целям их обработки;
• обеспечения точности Персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки Персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных, или неточных данных;
• соответствия целей обработки Персональных данных целям, заранее определенным и заявленным при сборе Персональных данных, а также полномочиям Оператора;
• соответствия содержания и объема обрабатываемых Персональных данных, способов обработки Персональных данных заявленным целям обработки. Обрабатываемые Персональные данные не являются избыточными по отношению к заявленным целям обработки;
• достоверности Персональных данных, их достаточности для целей обработки, недопустимости обработки Персональных данных, избыточных по отношению к целям, заявленным при сборе Персональных данных;
• недопустимости объединения баз данных, содержащих Персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• хранения Персональных данных в форме, позволяющей определить Субъекта Персональных данных, не дольше, чем этого требуют цели их обработки. Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
3.2. Для каждой категории Субъектов Персональных данных определены цели обработки Персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных.
3.3. Реестр процессов, в которых осуществляется обработка персональных данных (далее — реестр процессов) актуализируется на регулярной основе, дополняется и обновляется владельцами процессов по согласованию с лицом, ответственным за организацию обработки Персональных данных.
3.4. Актуальный реестра процессов утверждается приказом руководителя общества не реже одного раза в год.
3.5. Информация об актуальных процессах обработки Персональных данных отражается в Реестре процессов, после чего используется для:
• формирования или актуализации внутренних локальных документов, связанных с обработкой и защитой персональных данных и другой локальной документации, касающейся обработки Персональных данных;
• направления Уведомления или Информационного письма в Роскомнадзор;
• разработки внутренних нормативных документов Компании;
• выстраивания системы защиты и обработки Персональных данных;
• проведения внутренних аудитов процессов обработки и защиты Персональных данных;
• подготовки ответов на запросы субъектов Персональных данных, их представителей и уполномоченных органов;
• в иных целях, связанных с обработкой и защитой персональных данных.
4. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1.В целях обеспечения прав и свобод человека и гражданина при обработке Персональных данных Оператором соблюдаются следующие требования:
4.3.В случае недееспособности Субъекта Персональных данных все Персональные данные Субъекта следует получать от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении Персональных данных своего подопечного и дает согласие на их обработку Оператором.
4.4. Согласие на обработку Персональных данных может быть отозвано Субъектом Персональных данных на основании его письменного запроса или в форме электронного документа, подписанного электронной подписью в соответствии с законодательством РФ, а также иными способами, предусмотренными законодательством РФ. В случае, указанном в пункте 4.3. настоящей Политики, согласие может быть отозвано законным представителем Субъекта Персональных данных.
4.5. В случаях, когда Оператор может получить необходимые Персональные данные Субъекта только у третьей стороны, Субъект должен быть уведомлен об этом заранее и от него должно быть получено согласие. В уведомлении Оператор обязан сообщить о целях, способах и источниках получения Персональных данных, а также о характере и перечне подлежащих получению Персональных данных и возможных последствиях отказа Субъекта дать согласие на их получение.
4.6.Если персональные данные получены не от Субъекта персональных данных, Оператор, за исключением случаев, предусмотренных п. 4.7., до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
4.9.При принятии решений, затрагивающих интересы Работника, Оператор не имеет права основываться на Персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных средств доставки.
4.10. Полученные ООО «ДубльГИС» Персональные данные хранятся на следующих видах носителей:
4.13. Документы, содержащие Персональные данные, являются конфиденциальными.
4.1.В целях обеспечения прав и свобод человека и гражданина при обработке Персональных данных Оператором соблюдаются следующие требования:
- обработка Персональных данных может осуществляться исключительно для обеспечения соблюдения целей, указанных в разделе 3 настоящей Политики;
- Субъекты Персональных данных или их законные представители имеют право ознакомиться с документами Оператора, устанавливающими порядок обработки Персональных данных Субъектов, а также их права и обязанности в этой области;
- Субъекты Персональных данных не должны отказываться от своих прав на сохранение и защиту Персональных данных.
4.3.В случае недееспособности Субъекта Персональных данных все Персональные данные Субъекта следует получать от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении Персональных данных своего подопечного и дает согласие на их обработку Оператором.
4.4. Согласие на обработку Персональных данных может быть отозвано Субъектом Персональных данных на основании его письменного запроса или в форме электронного документа, подписанного электронной подписью в соответствии с законодательством РФ, а также иными способами, предусмотренными законодательством РФ. В случае, указанном в пункте 4.3. настоящей Политики, согласие может быть отозвано законным представителем Субъекта Персональных данных.
4.5. В случаях, когда Оператор может получить необходимые Персональные данные Субъекта только у третьей стороны, Субъект должен быть уведомлен об этом заранее и от него должно быть получено согласие. В уведомлении Оператор обязан сообщить о целях, способах и источниках получения Персональных данных, а также о характере и перечне подлежащих получению Персональных данных и возможных последствиях отказа Субъекта дать согласие на их получение.
4.6.Если персональные данные получены не от Субъекта персональных данных, Оператор, за исключением случаев, предусмотренных п. 4.7., до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
- наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- перечень персональных данных;
- предполагаемые пользователи персональных данных;
- права субъекта персональных данных;
- источник получения персональных данных.
- Субъект Персональных данных уведомлен об осуществлении обработки его Персональных данных Оператором;
- Персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого, либо выгодоприобретателем, или поручителем, по которому является Субъект Персональных данных;
- Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006 года;
- Оператор осуществляет обработку Персональных данных для статистических или иных исследовательских целей на основе обезличенных данных, если при этом не нарушаются права и законные интересы Субъекта Персональных данных;
- предоставление Субъекту Персональных данных указанных выше сведений нарушает права и законные интересы третьих лиц.
4.9.При принятии решений, затрагивающих интересы Работника, Оператор не имеет права основываться на Персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных средств доставки.
4.10. Полученные ООО «ДубльГИС» Персональные данные хранятся на следующих видах носителей:
- Бумажные носители (в том числе личные дела, трудовые договоры, трудовые книжки Работников);
- Электронные носители (в том числе корпоративные автоматизированные информационные системы).
- неавтоматизированным способом обработки Персональных данных;
- автоматизированным способом обработки Персональных данных (с помощью ПЭВМ и специальных программных продуктов).
4.13. Документы, содержащие Персональные данные, являются конфиденциальными.
5. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1.Хранение Персональных данных может осуществляться следующими способами:
— на Служебных средствах вычислительной техники;
— на внешних машинных (электронных) носителях информации.
— в архиве в соответствии с законодательством РФ об архивном деле.
5.2.Оператор хранит Персональные данные в течение следующих сроков:
5.4.Хранение Персональных данных Субъектов осуществляется структурными подразделениями Оператора в соответствии с перечнем Персональных данных и перечнем информационных систем Персональных данных, утвержденным у Оператора.
5.5.Персональные данные Субъектов преимущественно хранятся на электронных носителях в электронном виде в персональных компьютерах, подключенных к локальной компьютерной сети Оператора. Доступ к электронным базам данных ограничен паролем.
5.6.Доступ к бумажным и электронным носителям Персональных данных получают только те Работники, которым это необходимо для выполнения их должностных обязанностей.
5.7.ООО «ДубльГИС» обеспечивает необходимые организационные и технические меры для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения Персональных данных, а также от иных неправомерных действий.
5.8.Возможна передача Персональных данных Субъектов по внутренней сети Оператора с использованием технических и программных средств защиты информации, с доступом только для Работников, допущенных к работе с Персональными данными Субъектов и только в объеме, необходимом данным Работникам для выполнения своих должностных обязанностей.
5.9.Подразделения ООО «ДубльГИС», осуществляющие кадровое делопроизводство, ведут личные дела Работников, в которых содержатся Персональные данные Работников и иные сведения, связанные с трудовой деятельностью Работников. Наряду с копиями документов и личными заявлениями к личному делу Работника приобщается анкета, заполненная Работником. Личные дела, трудовые договоры и трудовые книжки Работников хранятся в помещениях кадровых служб в несгораемых шкафах (сейфах). Ответственность за хранение указанных документов возлагается на руководителя кадрового подразделения.
5.10. Персональные данные Работников на бумажных носителях хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам в специально отведенной секции сейфа (или шкафах), обеспечивающего защиту от несанкционированного доступа.
5.11. Доступ к Персональным данным Работников на бумажных носителях осуществляется в порядке, предусмотренном Разделом 6 настоящего Положения.
5.12. Подразделения Оператора, хранящие Персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному Постановлением Правительства Р Ф 15 сентября 2008 г. № 687.
5.13. Хранение Персональных данных должно осуществляться в форме, позволяющей определить Субъекта Персональных данных, не дольше, чем этого требуют цели обработки Персональных данных, если срок хранения Персональных данных не установлен Федеральным законом № 152-ФЗ «О персональных данных» или соответствующим договором. Обрабатываемые Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.
5.14. Хранение документов, содержащих Персональные данные Субъектов, осуществляется в течение установленных действующими нормативными или локальными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению.
5.1.Хранение Персональных данных может осуществляться следующими способами:
- в электронном виде:
— на Служебных средствах вычислительной техники;
— на внешних машинных (электронных) носителях информации.
- на бумажном носителе:
— в архиве в соответствии с законодательством РФ об архивном деле.
5.2.Оператор хранит Персональные данные в течение следующих сроков:
- Персональные данные Работников, хранятся в течение срока действия трудовых договоров с Работниками и 6 лет, следующих за датой прекращения трудовых отношений;
- Персональные данные родственников Работников хранятся в течение срока действия трудовых договоров с Работниками;
- Персональные данные Соискателей хранятся в течение 10 лет;
- Персональные данные работников Партнеров и Аффилированных лиц хранятся в течение срока действия трудового договора таких работников с Партнером или Аффилированным лицом;
- Персональные данные Контрагентов, работников и/или представителей Контрагентов ООО «ДубльГИС» хранятся в пределах срока действия соответствующего договора и в течение 10 лет после прекращения его действия, если меньший срок не будет согласован сторонами договора отдельно;
- Персональные данные Пользователей хранятся всё время использования аккаунта/Личного кабинета Пользователем и после его удаления в течение срока, определенного в соответствии с Федеральным законом от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также до достижения целей обработки Персональных данных или до отзыва согласия на обработку персональных данных пользователем и в течение срока, определенного в соответствии с Законом № 149-ФЗ;
- Персональные данные членов органов управления ООО «ДубльГИС» хранятся в течение 5 лет после выхода члена из состава органа управления.
5.4.Хранение Персональных данных Субъектов осуществляется структурными подразделениями Оператора в соответствии с перечнем Персональных данных и перечнем информационных систем Персональных данных, утвержденным у Оператора.
5.5.Персональные данные Субъектов преимущественно хранятся на электронных носителях в электронном виде в персональных компьютерах, подключенных к локальной компьютерной сети Оператора. Доступ к электронным базам данных ограничен паролем.
5.6.Доступ к бумажным и электронным носителям Персональных данных получают только те Работники, которым это необходимо для выполнения их должностных обязанностей.
5.7.ООО «ДубльГИС» обеспечивает необходимые организационные и технические меры для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения Персональных данных, а также от иных неправомерных действий.
5.8.Возможна передача Персональных данных Субъектов по внутренней сети Оператора с использованием технических и программных средств защиты информации, с доступом только для Работников, допущенных к работе с Персональными данными Субъектов и только в объеме, необходимом данным Работникам для выполнения своих должностных обязанностей.
5.9.Подразделения ООО «ДубльГИС», осуществляющие кадровое делопроизводство, ведут личные дела Работников, в которых содержатся Персональные данные Работников и иные сведения, связанные с трудовой деятельностью Работников. Наряду с копиями документов и личными заявлениями к личному делу Работника приобщается анкета, заполненная Работником. Личные дела, трудовые договоры и трудовые книжки Работников хранятся в помещениях кадровых служб в несгораемых шкафах (сейфах). Ответственность за хранение указанных документов возлагается на руководителя кадрового подразделения.
5.10. Персональные данные Работников на бумажных носителях хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам в специально отведенной секции сейфа (или шкафах), обеспечивающего защиту от несанкционированного доступа.
5.11. Доступ к Персональным данным Работников на бумажных носителях осуществляется в порядке, предусмотренном Разделом 6 настоящего Положения.
5.12. Подразделения Оператора, хранящие Персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному Постановлением Правительства Р Ф 15 сентября 2008 г. № 687.
5.13. Хранение Персональных данных должно осуществляться в форме, позволяющей определить Субъекта Персональных данных, не дольше, чем этого требуют цели обработки Персональных данных, если срок хранения Персональных данных не установлен Федеральным законом № 152-ФЗ «О персональных данных» или соответствующим договором. Обрабатываемые Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.
5.14. Хранение документов, содержащих Персональные данные Субъектов, осуществляется в течение установленных действующими нормативными или локальными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению.
6. ВНУТРЕННИЙ ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
6.1.Доступ к Персональным данным Субъектов имеют Работники Оператора, допущенные к работе с Персональными данными Субъектов. Данным категориям сотрудников в их должностные обязанности включается пункт о сохранении конфиденциальности обрабатываемой информации.
6.2.При предоставлении доступа к Персональным данным Оператор должен соблюдать следующие требования:
6.4.Руководители структурных подразделений Оператора имеют доступ к Персональным данным Работников соответствующих структурных подразделений в порядке административной и функциональной подчиненности.
6.5.Остальные Работники ООО «ДубльГИС» получают доступ к Персональным данным других Работников в установленном действующим законодательством и настоящим Положением порядке.
6.6.При осуществлении доступа работника к информационным системам / базам данных ему должен быть предоставлен минимальный набор прав доступа в рамках закрепленной за пользователем роли. В информационных системах реализуется контроль доступа пользователя к Персональным данным.
6.7.Доступ работника к обрабатываемым Персональным данным прекращается в случае отсутствия (минования) производственной необходимости, изменения функциональных и должностных обязанностей, длительного отпуска, увольнения работника. В целях надлежащей организации производственного процесса и обеспечения оптимального взаимодействия между подразделениями и отдельными Работниками все работники ООО «ДубльГИС» имеют доступ к информационной системе «Планета», размещенной на корпоративном сайте planeta.2gis.ru/, содержащим следующую информацию о Работниках:
6.10. ООО «ДубльГИС» обязано в порядке, предусмотренном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», сообщить Субъекту Персональных данных или его законному представителю информацию о наличии Персональных данных, относящихся к соответствующему Субъекту Персональных данных, а также предоставить возможность ознакомления с ними при обращении Субъекта Персональных данных или его законного представителя или в течение десяти рабочих дней с даты получения запроса Субъекта Персональных данных или его законного представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
6.1.Доступ к Персональным данным Субъектов имеют Работники Оператора, допущенные к работе с Персональными данными Субъектов. Данным категориям сотрудников в их должностные обязанности включается пункт о сохранении конфиденциальности обрабатываемой информации.
6.2.При предоставлении доступа к Персональным данным Оператор должен соблюдать следующие требования:
- разрешать доступ к Персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те Персональные данные, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья Работника ООО «ДубльГИС», за исключением тех сведений, которые относятся к вопросу о возможности выполнения Работником трудовой функции.
6.4.Руководители структурных подразделений Оператора имеют доступ к Персональным данным Работников соответствующих структурных подразделений в порядке административной и функциональной подчиненности.
6.5.Остальные Работники ООО «ДубльГИС» получают доступ к Персональным данным других Работников в установленном действующим законодательством и настоящим Положением порядке.
6.6.При осуществлении доступа работника к информационным системам / базам данных ему должен быть предоставлен минимальный набор прав доступа в рамках закрепленной за пользователем роли. В информационных системах реализуется контроль доступа пользователя к Персональным данным.
6.7.Доступ работника к обрабатываемым Персональным данным прекращается в случае отсутствия (минования) производственной необходимости, изменения функциональных и должностных обязанностей, длительного отпуска, увольнения работника. В целях надлежащей организации производственного процесса и обеспечения оптимального взаимодействия между подразделениями и отдельными Работниками все работники ООО «ДубльГИС» имеют доступ к информационной системе «Планета», размещенной на корпоративном сайте planeta.2gis.ru/, содержащим следующую информацию о Работниках:
- фамилия, имя, отчество;
- дата рождения;
- рабочий номер телефона;
- мобильный номер телефона;
- адрес корпоративной электронной почты;
- адрес личной электронной почты;
- адреса личных страниц в социальных сетях;
- имя (никнейм) в программных продуктах, используемых Работником для связи;
- офис (идентификатор места работы);
- занимаемая должность;
- компания (компания работодателя / представляемого лица);
- фотографические изображения.
- город местонахождения работника;
- страна местонахождения работника;
- хобби, увлечения работника.
- выполнять требования настоящего Положения по обеспечению защиты Персональных данных;
- пресекать действия других лиц, которые могут привести к разглашению Персональных данных;
- использовать Персональные данные только в целях выполнения функциональных обязанностей;
- использовать в своей работе лишь те Персональные данные, которые действительно необходимы для полноценного выполнения функциональных обязанностей;
- при составлении документов, включающих Персональные данные, ограничиваться минимальными, действительно необходимыми, сведениями и количеством экземпляров;
- документы, содержащие Персональные данные, во время работы располагать так, чтобы исключить возможность ознакомления с ними других лиц, в том числе допущенных к подобным сведениям, но не имеющих к ним прямого отношения;
- об утрате или недостаче документов, содержащих Персональные данные, немедленно сообщать своему непосредственному руководителю;
- отказывать в предоставлении Персональных данных третьим лицам без письменного разрешения ООО «ДубльГИС» или уполномоченного им лица;
- в случае увольнения сдать непосредственному руководителю все служебные документы, содержащие Персональные данные (бумажные, электронные носители), которые находились в его распоряжении в связи с выполнением функциональных обязанностей во время работы в ООО «ДубльГИС».
6.10. ООО «ДубльГИС» обязано в порядке, предусмотренном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», сообщить Субъекту Персональных данных или его законному представителю информацию о наличии Персональных данных, относящихся к соответствующему Субъекту Персональных данных, а также предоставить возможность ознакомления с ними при обращении Субъекта Персональных данных или его законного представителя или в течение десяти рабочих дней с даты получения запроса Субъекта Персональных данных или его законного представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
7. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1.При передаче Персональных данных Субъекта Оператор обязан соблюдать следующие требования:
• не сообщать Персональные данные Субъекта третьей стороне без надлежащего согласия Субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, а также в случаях, предусмотренных действующим законодательством;
• не сообщать Персональные данные Субъекта в коммерческих целях без его надлежащего согласия;
• передавать Персональные данные Субъекта представителям Субъекта в порядке, установленном действующим законодательством, и ограничивать эту информацию только теми Персональными данными Субъекта, которые необходимы для выполнения указанными представителями их функций;
• предупредить лиц, получающих Персональные данные Субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
7.2.Лица, получающие Персональные данные Субъекта, обязаны соблюдать требования конфиденциальности.
7.3.Все сведения о передаче Персональных данных Субъекта регистрируются в Журналах учета обращений и запросов Субъекта Персональных данных, уполномоченного органа по защите прав субъектов Персональных данных, а также третьих лиц, участников правоотношений целях контроля правомерности использования данной информации лицами, ее получившими. В Журналах фиксируются сведения о лице, направившем запрос, дата передачи Персональных данных или дата уведомления об отказе в их предоставлении, а также указываются Персональные данные, которые были переданы.
7.4.Передача Персональных данных Субъектов третьим лицам осуществляется Оператором только с их надлежащего согласия, за исключением случаев, если:
• передача необходима для защиты жизни и здоровья Субъекта, либо других лиц и получение его согласия невозможно;
• по запросу органов дознания, следствия и суда в связи с проведением расследования или судебным разбирательством;
• передача Персональных данных осуществляется в рамках исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект Персональных данных, кроме случаев, требующих наличие согласия Субъекта Персональных данных;
• в иных случаях, прямо предусмотренных федеральными законами.
7.5. В случае оформления письменного согласия Субъекта на передачу его Персональных данных третьим лицам, согласие должно включать в себя:
• фамилию, имя, отчество, адрес Субъекта, серию, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование и адрес оператора, получающего согласие субъекта персональных данных
• цель обработки Персональных данных Субъекта третьей стороной;
• перечень Персональных данных, на передачу которых дается согласие Субъекта;
• перечень действий третьей стороны с Персональными данными, на совершение которых дается согласие, общее описание используемых третьей стороной способов обработки Персональных данных;
• срок, в течение которого действует согласие, а также порядок его отзыва.
7.6. В случае смерти Субъекта согласие на обработку его Персональных данных дают в письменной форме наследники Субъекта, если такое согласие не было дано Работником при его жизни.
7.7. Согласия Работника на распространение его Персональных данных не требуется, в случае обезличивания Персональных данных.
7.8. Информация, относящаяся к Персональным данным Работника, может быть предоставлена государственным органам и органам местного самоуправления в пределах их полномочий, установленных федеральными законами. Основанием для передачи Персональных данных Работника является мотивированный требованиями законодательства или решением суда письменный запрос от должностного лица соответствующего государственного органа или органа местного самоуправления, подписанный руководителем данного органа, заверенный гербовой печатью.
7.9. Родственники и члены семьи Работника доступ к его Персональным данным не имеют.
7.10. В случае если лицо, обратившееся с запросом о предоставлении Персональных данных, не уполномочено федеральным законом, настоящей Политикой, другими локальными нормативными актами ООО «ДубльГИС» на получение Персональных данных Субъекта, либо отсутствует надлежащее согласие Субъекта на предоставление его Персональных данных, Оператор обязан отказать в предоставлении Персональных данных Субъекта указанному лицу.
7.11. Все меры конфиденциальности при сборе, обработке и хранении Персональных данных Субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
7.12. В случае если ООО «ДубльГИС» пользуется услугами третьих лиц на основании заключенных договоров (либо иных оснований), и в силу данных договоров они должны иметь доступ к Персональным данным, обрабатываемым ООО «ДубльГИС», то соответствующие Персональные данные предоставляются ООО «ДубльГИС» только после подписания с данными лицами соглашения о неразглашении Персональных данных или включения в договоры пунктов о неразглашении Персональных данных, в том числе предусматривающих защиту Персональных данных, и иных пунктов, предусмотренных Положением о договорной работе ООО «ДубльГИС».
7.13. Все типовые формы договоров ООО «ДубльГИС» должны содержать положения про обработку персональных данных для того, чтобы исключить риск незаконной обработки персональных данных со стороны контрагента.
7.14. В случае заключения расходного/доходного договора с условием об использовании персональных данных контактных лиц за пределами срока действия договора, условие об этом необходимо включить в договор.
7.15. В случае поручения ООО «ДубльГИС» обработчику обработки персональных данных, необходимо включить положение об этом в договор.
7.16. Лицо, осуществляющее обработку персональных данных по поручению ООО «ДубльГИС» должно соответствовать требованиям, предусмотренным Федеральным закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
7.17. В поручении должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных по поручению ООО «ДубльГИС», цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федеральным закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», обязанность по запросу ООО «ДубльГИС» в течение срока действия поручения, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения ООО «ДубльГИС» требований, настоящего пункта, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных», в том числе требование об уведомлении ООО «ДубльГИС» о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона «О персональных данных».
7.18. В случае передачи персональных данных, необходимо включить положение об этом в договор.
7.19.Трансграничная передача Персональных данных. До начала трансграничной передачи Персональных данных ООО «ДубльГИС» определяет:
• цели трансграничной передачи Персональных данных;
• правовые основания трансграничной передачи Персональных данных;
• категории субъектов Персональных данных;
• состав передаваемых Персональных данных;
• перечень иностранных государств, под юрисдикцией которых находятся иностранные получатели Персональных данных (органы государственной власти, юридические или физические лица).
7.20. ООО «ДубльГИС» уведомляет Роскомнадзор об осуществлении трансграничной передачи Персональных данных.
7.21. ООО «ДубльГИС» до подачи уведомления, предусмотренного п. 8.20 обязано получить от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных, следующие сведения:
1. сведения о принимаемых мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;
2. информацию о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находятся органы власти иностранного государства, иностранные физические лица, иностранные юридические лица, которым планируется трансграничная передача персональных данных (в случае, если предполагается осуществление трансграничной передачи персональных данных органам власти иностранного государства, иностранным физическим лицам, иностранным юридическим лицам, находящимся под юрисдикцией иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных);
3. сведения об органах власти иностранного государства, иностранных физических лицах, иностранных юридических лицах, которым планируется трансграничная передача персональных данных (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).
7.22. После получения сведений, указанных в п. 8.21. ООО «ДубльГИС» обязано провести оценку соблюдения конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке.
7.23. Передача или поручение обработки Персональных данных иностранному получателю осуществляется с учетом условий и ограничений, установленных Законом № 152-ФЗ, нормативными правовыми актами Правительства Российской Федерации.
7.1.При передаче Персональных данных Субъекта Оператор обязан соблюдать следующие требования:
• не сообщать Персональные данные Субъекта третьей стороне без надлежащего согласия Субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, а также в случаях, предусмотренных действующим законодательством;
• не сообщать Персональные данные Субъекта в коммерческих целях без его надлежащего согласия;
• передавать Персональные данные Субъекта представителям Субъекта в порядке, установленном действующим законодательством, и ограничивать эту информацию только теми Персональными данными Субъекта, которые необходимы для выполнения указанными представителями их функций;
• предупредить лиц, получающих Персональные данные Субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
7.2.Лица, получающие Персональные данные Субъекта, обязаны соблюдать требования конфиденциальности.
7.3.Все сведения о передаче Персональных данных Субъекта регистрируются в Журналах учета обращений и запросов Субъекта Персональных данных, уполномоченного органа по защите прав субъектов Персональных данных, а также третьих лиц, участников правоотношений целях контроля правомерности использования данной информации лицами, ее получившими. В Журналах фиксируются сведения о лице, направившем запрос, дата передачи Персональных данных или дата уведомления об отказе в их предоставлении, а также указываются Персональные данные, которые были переданы.
7.4.Передача Персональных данных Субъектов третьим лицам осуществляется Оператором только с их надлежащего согласия, за исключением случаев, если:
• передача необходима для защиты жизни и здоровья Субъекта, либо других лиц и получение его согласия невозможно;
• по запросу органов дознания, следствия и суда в связи с проведением расследования или судебным разбирательством;
• передача Персональных данных осуществляется в рамках исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект Персональных данных, кроме случаев, требующих наличие согласия Субъекта Персональных данных;
• в иных случаях, прямо предусмотренных федеральными законами.
7.5. В случае оформления письменного согласия Субъекта на передачу его Персональных данных третьим лицам, согласие должно включать в себя:
• фамилию, имя, отчество, адрес Субъекта, серию, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование и адрес оператора, получающего согласие субъекта персональных данных
• цель обработки Персональных данных Субъекта третьей стороной;
• перечень Персональных данных, на передачу которых дается согласие Субъекта;
• перечень действий третьей стороны с Персональными данными, на совершение которых дается согласие, общее описание используемых третьей стороной способов обработки Персональных данных;
• срок, в течение которого действует согласие, а также порядок его отзыва.
7.6. В случае смерти Субъекта согласие на обработку его Персональных данных дают в письменной форме наследники Субъекта, если такое согласие не было дано Работником при его жизни.
7.7. Согласия Работника на распространение его Персональных данных не требуется, в случае обезличивания Персональных данных.
7.8. Информация, относящаяся к Персональным данным Работника, может быть предоставлена государственным органам и органам местного самоуправления в пределах их полномочий, установленных федеральными законами. Основанием для передачи Персональных данных Работника является мотивированный требованиями законодательства или решением суда письменный запрос от должностного лица соответствующего государственного органа или органа местного самоуправления, подписанный руководителем данного органа, заверенный гербовой печатью.
7.9. Родственники и члены семьи Работника доступ к его Персональным данным не имеют.
7.10. В случае если лицо, обратившееся с запросом о предоставлении Персональных данных, не уполномочено федеральным законом, настоящей Политикой, другими локальными нормативными актами ООО «ДубльГИС» на получение Персональных данных Субъекта, либо отсутствует надлежащее согласие Субъекта на предоставление его Персональных данных, Оператор обязан отказать в предоставлении Персональных данных Субъекта указанному лицу.
7.11. Все меры конфиденциальности при сборе, обработке и хранении Персональных данных Субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
7.12. В случае если ООО «ДубльГИС» пользуется услугами третьих лиц на основании заключенных договоров (либо иных оснований), и в силу данных договоров они должны иметь доступ к Персональным данным, обрабатываемым ООО «ДубльГИС», то соответствующие Персональные данные предоставляются ООО «ДубльГИС» только после подписания с данными лицами соглашения о неразглашении Персональных данных или включения в договоры пунктов о неразглашении Персональных данных, в том числе предусматривающих защиту Персональных данных, и иных пунктов, предусмотренных Положением о договорной работе ООО «ДубльГИС».
7.13. Все типовые формы договоров ООО «ДубльГИС» должны содержать положения про обработку персональных данных для того, чтобы исключить риск незаконной обработки персональных данных со стороны контрагента.
7.14. В случае заключения расходного/доходного договора с условием об использовании персональных данных контактных лиц за пределами срока действия договора, условие об этом необходимо включить в договор.
7.15. В случае поручения ООО «ДубльГИС» обработчику обработки персональных данных, необходимо включить положение об этом в договор.
7.16. Лицо, осуществляющее обработку персональных данных по поручению ООО «ДубльГИС» должно соответствовать требованиям, предусмотренным Федеральным закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
7.17. В поручении должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных по поручению ООО «ДубльГИС», цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федеральным закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», обязанность по запросу ООО «ДубльГИС» в течение срока действия поручения, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения ООО «ДубльГИС» требований, настоящего пункта, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных», в том числе требование об уведомлении ООО «ДубльГИС» о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона «О персональных данных».
7.18. В случае передачи персональных данных, необходимо включить положение об этом в договор.
7.19.Трансграничная передача Персональных данных. До начала трансграничной передачи Персональных данных ООО «ДубльГИС» определяет:
• цели трансграничной передачи Персональных данных;
• правовые основания трансграничной передачи Персональных данных;
• категории субъектов Персональных данных;
• состав передаваемых Персональных данных;
• перечень иностранных государств, под юрисдикцией которых находятся иностранные получатели Персональных данных (органы государственной власти, юридические или физические лица).
7.20. ООО «ДубльГИС» уведомляет Роскомнадзор об осуществлении трансграничной передачи Персональных данных.
7.21. ООО «ДубльГИС» до подачи уведомления, предусмотренного п. 8.20 обязано получить от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных, следующие сведения:
1. сведения о принимаемых мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;
2. информацию о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находятся органы власти иностранного государства, иностранные физические лица, иностранные юридические лица, которым планируется трансграничная передача персональных данных (в случае, если предполагается осуществление трансграничной передачи персональных данных органам власти иностранного государства, иностранным физическим лицам, иностранным юридическим лицам, находящимся под юрисдикцией иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных);
3. сведения об органах власти иностранного государства, иностранных физических лицах, иностранных юридических лицах, которым планируется трансграничная передача персональных данных (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).
7.22. После получения сведений, указанных в п. 8.21. ООО «ДубльГИС» обязано провести оценку соблюдения конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке.
7.23. Передача или поручение обработки Персональных данных иностранному получателю осуществляется с учетом условий и ограничений, установленных Законом № 152-ФЗ, нормативными правовыми актами Правительства Российской Федерации.
8. БЛОКИРОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Блокирование Персональных данных конкретного Субъекта Персональных данных должно осуществляться во всех информационных системах Персональных данных ООО «ДубльГИС», включая архивы баз данных, содержащих такие Персональные данные.
8.2. Блокирование Персональных данных в ООО «ДубльГИС» осуществляется:
• в случае выявления неправомерной обработки Персональных данных при обращении/направлении запроса Субъекта Персональных данных или его представителя либо уполномоченного органа по защите прав Субъектов Персональных данных с момента такого обращения или получения указанного запроса на период проверки;
• в случае отсутствия возможности уничтожения Персональных данных в установленные сроки до их уничтожения.
8.3. После устранения выявленной неправомерной обработки Персональных данных ООО «ДубльГИС» осуществляет снятие блокирования Персональных данных. Решение о блокировании и снятии блокирования Персональных данных принимается лицом, ответственным за организацию обработки Персональных данных в ООО «ДубльГИС».
8.1. Блокирование Персональных данных конкретного Субъекта Персональных данных должно осуществляться во всех информационных системах Персональных данных ООО «ДубльГИС», включая архивы баз данных, содержащих такие Персональные данные.
8.2. Блокирование Персональных данных в ООО «ДубльГИС» осуществляется:
• в случае выявления неправомерной обработки Персональных данных при обращении/направлении запроса Субъекта Персональных данных или его представителя либо уполномоченного органа по защите прав Субъектов Персональных данных с момента такого обращения или получения указанного запроса на период проверки;
• в случае отсутствия возможности уничтожения Персональных данных в установленные сроки до их уничтожения.
8.3. После устранения выявленной неправомерной обработки Персональных данных ООО «ДубльГИС» осуществляет снятие блокирования Персональных данных. Решение о блокировании и снятии блокирования Персональных данных принимается лицом, ответственным за организацию обработки Персональных данных в ООО «ДубльГИС».
9. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Персональные данные хранятся в течение срока, определенного в разделе 6 настоящей Политики, и подлежат уничтожению по достижении целей обработки, истечения срока или в случае утраты необходимости в их достижении.
9.2. Документы, содержащие Персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном настоящей Политикой и архивным законодательством Российской Федерации.
9.3. Уничтожение документов, содержащих Персональные данные, производится:
• в случае отзыва согласия Субъекта Персональных данных, если отсутствуют иные законные основания обработки Персональных данных;
• по достижении целей их обработки согласно номенклатуре дел и документов или при утрате необходимости в их достижении;
• Персональные данные больше не требуются для достижения целей, в которых они были получены;
• по достижении окончания срока хранения Персональных данных, оговоренного в соответствующем соглашении заинтересованных сторон;
• истек срок согласия на обработку Персональных данных;
• в случае выявления неправомерной обработки Персональных данных в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки Персональных данных.
9.4. Уничтожение Персональных данных, находящихся на машинных носителях информации, выполняется средствами информационной системы (операционной системы, системы управления базами данных).
9.5. Уничтожение материальных носителей с Персональными данными осуществляется согласно документу «Регламент по организации обращения с защищаемыми носителями персональных данных».
9.6. Компания осуществляет документирование фактов уничтожения Персональных данных в ИСПДн и на материальных носителях, в соответствии с Требованиями к подтверждению уничтожения Персональных данных, утвержденными Приказом Роскомнадзора от 28.10.2022 № 179 (далее — Приказ № 179), Актом Акт об уничтожении персональных данных в базах данных, на материальных (бумажных, электронных) носителях по форме (далее — Акт).
9.7. В случае если Компания подтверждает уничтожение Персональных данных в ИСПДн, то к Акту необходимо приложить также выгрузку из журнала регистрации событий в ИСПДн.
9.8. В случае если выгрузка журнала регистрации событий в ИСПДн не позволяет указать отдельные сведения, предусмотренные Приказом № 179, то допускается указывать такие сведения в Акте.
9.1. Персональные данные хранятся в течение срока, определенного в разделе 6 настоящей Политики, и подлежат уничтожению по достижении целей обработки, истечения срока или в случае утраты необходимости в их достижении.
9.2. Документы, содержащие Персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном настоящей Политикой и архивным законодательством Российской Федерации.
9.3. Уничтожение документов, содержащих Персональные данные, производится:
• в случае отзыва согласия Субъекта Персональных данных, если отсутствуют иные законные основания обработки Персональных данных;
• по достижении целей их обработки согласно номенклатуре дел и документов или при утрате необходимости в их достижении;
• Персональные данные больше не требуются для достижения целей, в которых они были получены;
• по достижении окончания срока хранения Персональных данных, оговоренного в соответствующем соглашении заинтересованных сторон;
• истек срок согласия на обработку Персональных данных;
• в случае выявления неправомерной обработки Персональных данных в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки Персональных данных.
9.4. Уничтожение Персональных данных, находящихся на машинных носителях информации, выполняется средствами информационной системы (операционной системы, системы управления базами данных).
9.5. Уничтожение материальных носителей с Персональными данными осуществляется согласно документу «Регламент по организации обращения с защищаемыми носителями персональных данных».
9.6. Компания осуществляет документирование фактов уничтожения Персональных данных в ИСПДн и на материальных носителях, в соответствии с Требованиями к подтверждению уничтожения Персональных данных, утвержденными Приказом Роскомнадзора от 28.10.2022 № 179 (далее — Приказ № 179), Актом Акт об уничтожении персональных данных в базах данных, на материальных (бумажных, электронных) носителях по форме (далее — Акт).
9.7. В случае если Компания подтверждает уничтожение Персональных данных в ИСПДн, то к Акту необходимо приложить также выгрузку из журнала регистрации событий в ИСПДн.
9.8. В случае если выгрузка журнала регистрации событий в ИСПДн не позволяет указать отдельные сведения, предусмотренные Приказом № 179, то допускается указывать такие сведения в Акте.
10. ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
10.1. Методы и способы защиты Персональных данных в информационных системах Оператора должны соответствовать требованиям, установленным:
• Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
• Постановлением Правительства Р Ф от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
• Иным требованиям законодательства о персональных данных.
10.2. При обработке Персональных данных должны приниматься необходимые правовые, организационные и технические меры для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Персональных данных, а также от иных неправомерных действий.
10.3. Обмен Персональными данными при их обработке в информационных системах Персональных данных осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.
10.4. Размещение информационных систем Персональных данных, специальное оборудование и охрана помещений, в которых ведется работа с Персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей Персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
10.5. Для осуществления мероприятий по защите Персональных данных при их обработке в информационных системах Персональных данных системы защиты могут включать в себя следующие подсистемы: управления доступом; регистрации и учета; обеспечения целостности; антивирусной защиты; обеспечения безопасности межсетевого взаимодействия; анализа защищенности; обнаружения вторжений.
10.6. Для обеспечения безопасности Персональных данных при необходимости осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
10.7. В целях обеспечения безопасности Персональных данных при их обработке в информационных системах Персональных данных организуется контроль соблюдения условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией, а также разбирательство и составление заключений по фактам несоблюдения условий доступа к Персональным данным, использования средств защиты информации, которые могут привести к нарушениям конфиденциальности Персональных данных.
10.8. При обнаружении нарушений порядка предоставления Персональных данных незамедлительно приостанавливается предоставление Персональных данных пользователям информационной системы Персональных данных, получивших их с нарушением установленного порядка, до выявления причин нарушений и устранения этих причин.
10.9. Также в ООО «ДубльГИС» применяются следующие меры по обеспечению безопасности персональных данных:
• оценен вред, который может быть причинен Субъекту персональных данных в случае нарушения законодательства РФ в области персональных данных, оценено соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения законодательства РФ в области персональных данных;
• проводится ознакомление работников ООО «ДубльГИС», непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ в области персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику ООО «ДубльГИС» в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
• определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
• проводится оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;
• осуществляется контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
• в случаях и порядке, предусмотренным законодательством о персональных данных обеспечивается взаимодействие с уполномоченным органом по защите прав субъектов персональных данных РФ в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, а также, если применимо, с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных;
10.10. Ответственность за организацию защиты Персональных данных в информационных системах Персональных данных возлагается на подразделения безопасности и информационных технологий.
10.1. Методы и способы защиты Персональных данных в информационных системах Оператора должны соответствовать требованиям, установленным:
• Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
• Постановлением Правительства Р Ф от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
• Иным требованиям законодательства о персональных данных.
10.2. При обработке Персональных данных должны приниматься необходимые правовые, организационные и технические меры для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Персональных данных, а также от иных неправомерных действий.
10.3. Обмен Персональными данными при их обработке в информационных системах Персональных данных осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.
10.4. Размещение информационных систем Персональных данных, специальное оборудование и охрана помещений, в которых ведется работа с Персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей Персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
10.5. Для осуществления мероприятий по защите Персональных данных при их обработке в информационных системах Персональных данных системы защиты могут включать в себя следующие подсистемы: управления доступом; регистрации и учета; обеспечения целостности; антивирусной защиты; обеспечения безопасности межсетевого взаимодействия; анализа защищенности; обнаружения вторжений.
10.6. Для обеспечения безопасности Персональных данных при необходимости осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
10.7. В целях обеспечения безопасности Персональных данных при их обработке в информационных системах Персональных данных организуется контроль соблюдения условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией, а также разбирательство и составление заключений по фактам несоблюдения условий доступа к Персональным данным, использования средств защиты информации, которые могут привести к нарушениям конфиденциальности Персональных данных.
10.8. При обнаружении нарушений порядка предоставления Персональных данных незамедлительно приостанавливается предоставление Персональных данных пользователям информационной системы Персональных данных, получивших их с нарушением установленного порядка, до выявления причин нарушений и устранения этих причин.
10.9. Также в ООО «ДубльГИС» применяются следующие меры по обеспечению безопасности персональных данных:
• оценен вред, который может быть причинен Субъекту персональных данных в случае нарушения законодательства РФ в области персональных данных, оценено соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения законодательства РФ в области персональных данных;
• проводится ознакомление работников ООО «ДубльГИС», непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ в области персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику ООО «ДубльГИС» в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
• определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
• проводится оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;
• осуществляется контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
• в случаях и порядке, предусмотренным законодательством о персональных данных обеспечивается взаимодействие с уполномоченным органом по защите прав субъектов персональных данных РФ в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, а также, если применимо, с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных;
10.10. Ответственность за организацию защиты Персональных данных в информационных системах Персональных данных возлагается на подразделения безопасности и информационных технологий.
11. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ОПЕРАТОРА
11.1. В целях обеспечения защиты Персональных данных Субъекты имеют право:
• получать полную информацию о своих Персональных данных и обработке этих данных (в том числе автоматизированной);
• осуществлять свободный бесплатный доступ к своим Персональным данным, включая право получать копии любой записи, содержащей Персональные данные Субъекта, за исключением случаев, предусмотренных законодательством;
• требовать исключения или исправления неверных, или неполных Персональных данных, а также данных, обработанных с нарушением законодательства;
• при отказе Оператора исключить или исправить Персональные данные Субъекта — заявить в письменной форме о своем несогласии, представив соответствующее обоснование;
• дополнить Персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
• требовать от Оператора уведомления всех лиц, которым ранее были сообщены неверные или неполные Персональные данные Субъекта, обо всех произведенных в них изменениях или исключениях из них;
• обжаловать в суде любые неправомерные действия или бездействие Оператора, или уполномоченного им лица при обработке и защите Персональных данных Субъекта;
• реализовать иные права, предусмотренные законодательством о персональных данных.
11.2. Для защиты Персональных данных Субъектов Оператор обязан:
• за свой счет обеспечить защиту Персональных данных Субъекта от неправомерного их использования или утраты в порядке, установленном законодательством РФ;
• по запросу ознакомить Субъекта Персональных данных или его законных представителей с настоящей Политикой и его правами в области защиты Персональных данных, а также предоставить ему полную информацию о его Персональных данных и обработке этих данных;
• осуществлять передачу Персональных данных Субъекта только в соответствии с настоящей Политикой и законодательством Российской Федерации, а также иным применимым законодательством;
• осуществлять иные обязанности, предусмотренные законодательством о персональных данных.
11.3. Защита информации, содержащей Персональные данные, представляет собой принятие Оператором правовых, организационных и технических мер, направленных на:
• обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
• соблюдение конфиденциальности информации ограниченного доступа;
• реализацию права на доступ к информации.
11.4. Система защиты Персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности Персональных данных и информационных технологий, используемых в информационных системах в соответствии с Постановлением Правительства Р Ф от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
11.5. Для обеспечения безопасности Персональных данных Субъектов при неавтоматизированной обработке Оператором предпринимаются следующие меры:
Определяются места хранения Персональных данных Субъектов, которые оснащаются следующими средствами защиты:
• в кабинете соответствующего департамента находятся специально оборудованные шкафы, защищенные от несанкционированного доступа;
• помещения Оператора находятся под круглосуточной охраной сотрудников вневедомственной охраны;
• все действия по обработке Персональных данных Субъектов осуществляются только Работниками Оператора, надлежащим образом допущенными к работе с Персональными данными Субъектов, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.
11.6. Обработка, уточнение, уничтожение или блокирование Персональных данных Субъектов при осуществлении их обработки без использования средств автоматизации осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
11.7. Для обеспечения безопасности Персональных данных Субъектов Оператором при автоматизированной обработке предпринимаются следующие меры:
• Все действия при автоматизированной обработке Персональных данных Субъектов осуществляются только Работниками Оператора, занимающим должности, указанные в списке должностей, утвержденном соответствующим приказом, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.
• Персональные компьютеры, в которых содержатся Персональные данные Субъектов, защищены паролями доступа. Пароли устанавливаются администратором информационной безопасности Оператора и сообщаются индивидуально Работнику, допущенному к работе с Персональными данными и осуществляющему обработку Персональных данных Субъектов на данном персональном компьютере.
• Обработка Персональных данных при автоматизированной обработке Персональных данных осуществляется с соблюдением порядка, предусмотренного Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
11.8. ООО «ДубльГИС» осуществляет регулярный мониторинг изменений законодательства о персональных данных и в случае необходимости осуществляет информирование работников о соответствующих изменениях.
11.9. В случае изменения сведений, направленных ООО «ДубльГИС» в уполномоченный орган по защите прав субъектов персональных данных в уведомлении об обработке персональных данных, ООО «ДубльГИС» не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить уполномоченный орган по защите прав субъектов персональных данных обо всех произошедших за указанный период изменениях.
11.1. В целях обеспечения защиты Персональных данных Субъекты имеют право:
• получать полную информацию о своих Персональных данных и обработке этих данных (в том числе автоматизированной);
• осуществлять свободный бесплатный доступ к своим Персональным данным, включая право получать копии любой записи, содержащей Персональные данные Субъекта, за исключением случаев, предусмотренных законодательством;
• требовать исключения или исправления неверных, или неполных Персональных данных, а также данных, обработанных с нарушением законодательства;
• при отказе Оператора исключить или исправить Персональные данные Субъекта — заявить в письменной форме о своем несогласии, представив соответствующее обоснование;
• дополнить Персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
• требовать от Оператора уведомления всех лиц, которым ранее были сообщены неверные или неполные Персональные данные Субъекта, обо всех произведенных в них изменениях или исключениях из них;
• обжаловать в суде любые неправомерные действия или бездействие Оператора, или уполномоченного им лица при обработке и защите Персональных данных Субъекта;
• реализовать иные права, предусмотренные законодательством о персональных данных.
11.2. Для защиты Персональных данных Субъектов Оператор обязан:
• за свой счет обеспечить защиту Персональных данных Субъекта от неправомерного их использования или утраты в порядке, установленном законодательством РФ;
• по запросу ознакомить Субъекта Персональных данных или его законных представителей с настоящей Политикой и его правами в области защиты Персональных данных, а также предоставить ему полную информацию о его Персональных данных и обработке этих данных;
• осуществлять передачу Персональных данных Субъекта только в соответствии с настоящей Политикой и законодательством Российской Федерации, а также иным применимым законодательством;
• осуществлять иные обязанности, предусмотренные законодательством о персональных данных.
11.3. Защита информации, содержащей Персональные данные, представляет собой принятие Оператором правовых, организационных и технических мер, направленных на:
• обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
• соблюдение конфиденциальности информации ограниченного доступа;
• реализацию права на доступ к информации.
11.4. Система защиты Персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности Персональных данных и информационных технологий, используемых в информационных системах в соответствии с Постановлением Правительства Р Ф от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
11.5. Для обеспечения безопасности Персональных данных Субъектов при неавтоматизированной обработке Оператором предпринимаются следующие меры:
Определяются места хранения Персональных данных Субъектов, которые оснащаются следующими средствами защиты:
• в кабинете соответствующего департамента находятся специально оборудованные шкафы, защищенные от несанкционированного доступа;
• помещения Оператора находятся под круглосуточной охраной сотрудников вневедомственной охраны;
• все действия по обработке Персональных данных Субъектов осуществляются только Работниками Оператора, надлежащим образом допущенными к работе с Персональными данными Субъектов, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.
11.6. Обработка, уточнение, уничтожение или блокирование Персональных данных Субъектов при осуществлении их обработки без использования средств автоматизации осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
11.7. Для обеспечения безопасности Персональных данных Субъектов Оператором при автоматизированной обработке предпринимаются следующие меры:
• Все действия при автоматизированной обработке Персональных данных Субъектов осуществляются только Работниками Оператора, занимающим должности, указанные в списке должностей, утвержденном соответствующим приказом, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.
• Персональные компьютеры, в которых содержатся Персональные данные Субъектов, защищены паролями доступа. Пароли устанавливаются администратором информационной безопасности Оператора и сообщаются индивидуально Работнику, допущенному к работе с Персональными данными и осуществляющему обработку Персональных данных Субъектов на данном персональном компьютере.
• Обработка Персональных данных при автоматизированной обработке Персональных данных осуществляется с соблюдением порядка, предусмотренного Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
11.8. ООО «ДубльГИС» осуществляет регулярный мониторинг изменений законодательства о персональных данных и в случае необходимости осуществляет информирование работников о соответствующих изменениях.
11.9. В случае изменения сведений, направленных ООО «ДубльГИС» в уполномоченный орган по защите прав субъектов персональных данных в уведомлении об обработке персональных данных, ООО «ДубльГИС» не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить уполномоченный орган по защите прав субъектов персональных данных обо всех произошедших за указанный период изменениях.
12. ТРЕБОВАНИЯ К СОГЛАСИЮ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1. Согласие на обработку персональных данных должно отвечать следующим требованиям:
• должно быть конкретным, информированным, сознательным, предметным и однозначным;
• может быть дано Субъектом или его представителем в любой позволяющей подтвердить факт его получения форме, если законодательством РФ не установлена обязанность получать согласие в письменной форме;
• должно быть дано свободно, своей волей и в своем интересе.
12.2. Обработка персональных данных Субъектов в целях продвижения товаров, работ, услуг на рынке путем прямых контактов с Субъектом с помощью средств связи должна осуществляться только при условии предварительного согласия Субъекта. При этом необходимо обеспечить наличие доказательственной базы получения такого согласия. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в целях продвижения товаров, работ, услуг на рынке путем прямых контактов.
12.3. Согласие Субъекта в письменной форме и в форме электронного документа.
12.3.1. Оператор персональных данных, обязан получать согласие Субъекта в письменной форме в следующих случаях:
• включение персональных данных Субъекта в общедоступные источники персональных данных;
• обработка биометрических персональных данных;
• обработка специальных категорий персональных данных;
• трансграничная передача персональных данных на территорию государства, не обеспечивающего адекватную защиту прав Субъектов персональных данных;
• принятие решения на основании исключительно автоматизированной обработки персональных данных, порождающего юридические последствия в отношении Субъекта или иным образом затрагивающего его права и законные интересы;
12.4. Содержание согласие Субъекта в письменной форме должно отвечать требованиям ч. 4 ст. 9 федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных»:
12.5. Согласие Субъекта в письменной форме оформляется на бумажном носителе с собственноручной подписью Субъекта или его представителя. Равнозначным, содержащему собственноручную подпись Субъекта, согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с требованиями федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».
12.6. Согласие Субъекта в любой форме
12.6.1. В случаях, не требующих в соответствии с действующим законодательством оформлять Оператору согласие в письменной форме, может быть получено согласие в любой форме с применением сервисов Оператора, принадлежащих или используемых Оператором, позволяющей подтвердить факт его получения. К таким случаям относятся получение согласий в письменной форме и в форме электронного документа, а также в случаях совершения Субъектом явного действия, например, но не ограничиваясь:
• отправка Оператору после процедуры ознакомления с текстом согласия на обработку персональных данных ответного SMS-сообщения с Кодом подтверждения полученного Субъектом на мобильный номер телефона или посредством голосового подтверждения;
• нажатие Субъектом на кнопку «Подтверждаю», «Согласен», «Принимаю», «Продолжить» и т. п. после процедуры ознакомления с текстом согласия на обработку персональных данных;
• заполнение Чек-бокса рядом с текстом согласия на обработку персональных данных в графическом интерфейсе бизнес-сервиса;
• ответное электронное письмо на электронный почтовый ящик оператора, исходящее от Субъекта с информацией о согласии на обработку персональных данных.
12.7. Обеспечение доказательств наличия правовых оснований на обработку персональных данных.
12.7.1. Оператор осуществляет учет и хранение согласий в течение срока действия согласия, увеличенного на три года (общий срок исковой давности).
12.7.2. В соответствии с требованиями федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных» по запросу уполномоченного органа или Субъекта Оператор обязан предоставить доказательство получения согласия Субъекта на обработку его персональных данных или доказательство наличия иных оснований обработки персональных данных.
12.7.3. Подтверждением факта получения согласия на бумажном носителе является бланк согласия с собственноручной подписью Субъекта или его представителя и указанием даты его подписи.
12.7.4. Хранение Согласий, оформленных на бумажном носителе, в зависимости от вида осуществляется в ответственных подразделениях оператора.
12.7.5. При получении согласия от представителя Субъекта Оператору необходимо осуществлять хранение документов, подтверждающих полномочия представителя, в течение срока, установленного для хранения согласий. Хранение документов, подтверждающих полномочия представителя, осуществляется совместно с согласиями.
12.7.6. Место хранения согласий, а также лица ответственные за организацию хранения, определяется внутренним локальным нормативным документом Оператора.
12.7.7. В целях обеспечения подтверждения получения Оператором согласий в электронном виде, в информационных системах Оператора должны быть реализованы функции учета полученных согласий и хранение подтверждений (с возможностью их выгрузки для последующей печати).
12.1. Согласие на обработку персональных данных должно отвечать следующим требованиям:
• должно быть конкретным, информированным, сознательным, предметным и однозначным;
• может быть дано Субъектом или его представителем в любой позволяющей подтвердить факт его получения форме, если законодательством РФ не установлена обязанность получать согласие в письменной форме;
• должно быть дано свободно, своей волей и в своем интересе.
12.2. Обработка персональных данных Субъектов в целях продвижения товаров, работ, услуг на рынке путем прямых контактов с Субъектом с помощью средств связи должна осуществляться только при условии предварительного согласия Субъекта. При этом необходимо обеспечить наличие доказательственной базы получения такого согласия. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в целях продвижения товаров, работ, услуг на рынке путем прямых контактов.
12.3. Согласие Субъекта в письменной форме и в форме электронного документа.
12.3.1. Оператор персональных данных, обязан получать согласие Субъекта в письменной форме в следующих случаях:
• включение персональных данных Субъекта в общедоступные источники персональных данных;
• обработка биометрических персональных данных;
• обработка специальных категорий персональных данных;
• трансграничная передача персональных данных на территорию государства, не обеспечивающего адекватную защиту прав Субъектов персональных данных;
• принятие решения на основании исключительно автоматизированной обработки персональных данных, порождающего юридические последствия в отношении Субъекта или иным образом затрагивающего его права и законные интересы;
12.4. Содержание согласие Субъекта в письменной форме должно отвечать требованиям ч. 4 ст. 9 федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных»:
12.5. Согласие Субъекта в письменной форме оформляется на бумажном носителе с собственноручной подписью Субъекта или его представителя. Равнозначным, содержащему собственноручную подпись Субъекта, согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с требованиями федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».
12.6. Согласие Субъекта в любой форме
12.6.1. В случаях, не требующих в соответствии с действующим законодательством оформлять Оператору согласие в письменной форме, может быть получено согласие в любой форме с применением сервисов Оператора, принадлежащих или используемых Оператором, позволяющей подтвердить факт его получения. К таким случаям относятся получение согласий в письменной форме и в форме электронного документа, а также в случаях совершения Субъектом явного действия, например, но не ограничиваясь:
• отправка Оператору после процедуры ознакомления с текстом согласия на обработку персональных данных ответного SMS-сообщения с Кодом подтверждения полученного Субъектом на мобильный номер телефона или посредством голосового подтверждения;
• нажатие Субъектом на кнопку «Подтверждаю», «Согласен», «Принимаю», «Продолжить» и т. п. после процедуры ознакомления с текстом согласия на обработку персональных данных;
• заполнение Чек-бокса рядом с текстом согласия на обработку персональных данных в графическом интерфейсе бизнес-сервиса;
• ответное электронное письмо на электронный почтовый ящик оператора, исходящее от Субъекта с информацией о согласии на обработку персональных данных.
12.7. Обеспечение доказательств наличия правовых оснований на обработку персональных данных.
12.7.1. Оператор осуществляет учет и хранение согласий в течение срока действия согласия, увеличенного на три года (общий срок исковой давности).
12.7.2. В соответствии с требованиями федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных» по запросу уполномоченного органа или Субъекта Оператор обязан предоставить доказательство получения согласия Субъекта на обработку его персональных данных или доказательство наличия иных оснований обработки персональных данных.
12.7.3. Подтверждением факта получения согласия на бумажном носителе является бланк согласия с собственноручной подписью Субъекта или его представителя и указанием даты его подписи.
12.7.4. Хранение Согласий, оформленных на бумажном носителе, в зависимости от вида осуществляется в ответственных подразделениях оператора.
12.7.5. При получении согласия от представителя Субъекта Оператору необходимо осуществлять хранение документов, подтверждающих полномочия представителя, в течение срока, установленного для хранения согласий. Хранение документов, подтверждающих полномочия представителя, осуществляется совместно с согласиями.
12.7.6. Место хранения согласий, а также лица ответственные за организацию хранения, определяется внутренним локальным нормативным документом Оператора.
12.7.7. В целях обеспечения подтверждения получения Оператором согласий в электронном виде, в информационных системах Оператора должны быть реализованы функции учета полученных согласий и хранение подтверждений (с возможностью их выгрузки для последующей печати).
13. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
13.1. Лица, виновные в нарушении требований законодательства о персональных данных, несут ответственность, предусмотренную действующим законодательством Российской Федерации.
Редакция от 28.03.2024 г.
13.1. Лица, виновные в нарушении требований законодательства о персональных данных, несут ответственность, предусмотренную действующим законодательством Российской Федерации.
Редакция от 28.03.2024 г.
Смотрите также:
- Политика в отношении обработки персональных данных субъектов персональных данных ООО «ДубльГИС» (утратила силу 28.03.2024 г.)
- Политика в отношении обработки персональных данных субъектов персональных данных ООО «ДубльГИС» (утратила силу 08.12.2023 г.)
- Политика в отношении обработки персональных данных субъектов персональных данных ООО «ДубльГИС» (утратила силу 29.03.2023 г.)