1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1 Назначение документа
1.1.1. С целью поддержания деловой репутации и обеспечения выполнения норм федерального законодательства, согласно требованиям Федерального закона от 27.07.2006 г. № 152-ФЗ «О Персональных данных», ООО «ДубльГИС» определяет важнейшими задачами: обеспечение законности обработки Персональных данных в бизнес-процессах ООО «ДубльГИС» и обеспечение надлежащего уровня безопасности обрабатываемых в ООО «ДубльГИС» Персональных данных.
1.1.2. Настоящая Политика в отношении обработки персональных данных (далее — Политика) разработана в соответствии с п. 2 ч.1 ст. 18.1 Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет основные принципы, цели, условия и способы обработки Персональных данных, права и обязанности ООО «ДубльГИС» при обработке персональных данных, права Субъектов персональных данных, а также реализуемые в ООО «ДубльГИС» меры по обеспечению безопасности Персональных данных при осуществлении установленных в Уставе видов деятельности.
1.1.3. Положения настоящей Политики служат основой для разработки локальных актов, регламентирующих в ООО «ДубльГИС» вопросы обработки Персональных данных.
1.2 Нормативные ссылки
1.2.1. Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»).
1.2.2. Федеральный закон РФ от 27.07.2006. № 149-ФЗ «Об информации, информационных технологиях и защите информации».
1.2.3. Постановление Правительства Р Ф от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
1.2.4. Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
1.3 Область действия
1.3.1. Действие настоящей Политики распространяется на все процессы ООО «ДубльГИС», в рамках которых осуществляется обработка Персональных данных, как с использованием средств вычислительной техники, в том числе с использованием информационно-телекоммуникационных сетей, так и без использования таких средств.
1.4 Утверждение и пересмотр
1.4.1. Настоящая Политика вступает в силу с момента ее утверждения Генеральным директором ООО «ДубльГИС» и действует бессрочно.
1.4.2. ООО «ДубльГИС» проводит пересмотр положений настоящей Политики и их актуализацию по мере необходимости, но не реже одного раза в три года, а также:
· при изменении требований законодательства РФ к порядку обработки и обеспечению безопасности Персональных данных;
· по результатам проверок органа по защите прав Субъектов Персональных данных, выявившим несоответствия требованиям законодательства РФ по обеспечению безопасности Персональных данных;
· в случае выявления существенных нарушений по результатам внутренних проверок системы защиты Персональных данных;
· при изменении процессов и технологий обработки Персональных данных в ООО «ДубльГИС».
1.4.3. При внесении изменений указывается дата последнего обновления редакции. Новая редакция вводится в действие приказом Генерального директора ООО «ДубльГИС».
1.4.4. Обеспечение неограниченного доступа к Политике реализуется путем ее публикации на сайте ООО «ДубльГИС» в сети Интернет.
1.4.5. Термины, использованные в настоящей Политики с заглавной буквы, имеют значения, указанные в разделе 2 настоящей Политики, если в настоящей Политики не определено иное.
2. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ

2.1. Аффилированное лицо — (а) в отношении лица, не являющегося физическим лицом, — любое другое лицо, прямо или косвенно Контролирующее, Контролируемое или находящееся под общим Контролем с ООО «ДубльГИС»; (b) в отношении физического лица — близкий родственник такого лица, управляющий трастом (трасти), бенефициаром которого является такое лицо или близкий родственник такого лица, и любое лицо, не являющееся физическим лицом, которое такое лицо или близкий родственник такого лица прямо или косвенно Контролирует, или которое находится под их общим Контролем. Для целей настоящего определения под Контролем понимается возможность по отношению к лицу или право другого лица (физического лица или юридического лица) прямо либо косвенно (через лицо или несколько лиц), самостоятельно или совместно с Аффилированными лицами, на основании корпоративного договора, договора доверительного управления имуществом, или в результате других сделок либо по иным основаниям: распоряжаться более чем 50% (пятьюдесятью процентами) общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный (складочный) капитал Контролируемого лица; и (или) назначать или прекращать полномочия единоличного исполнительного органа и (или) более чем 50% (пятидесяти процентов) состава коллегиального исполнительного органа Контролируемого лица и (или) избирать более чем 50% (пятьдесят процентов) состава совета директоров (наблюдательного совета) или иного коллегиального органа Контролируемого лица; и (или) определять решения или действия такого лица по всем или существенной части вопросов (фактически или юридически). Термины «Контролируемый», «Контролирует» и «Контролирующий» следует толковать соответствующим образом.
2.2. Блокирование персональных данных — временное прекращение обработки Персональных данных (за исключением случаев, если обработка необходима для уточнения Персональных данных).
2.3. Иные данные — данные, не являющиеся Персональными данными и необходимые для функционирования Сервисов 2ГИС.
2.4. Информационная система Персональных данных или ИСПДн — совокупность содержащихся в базах данных Персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.5. Контрагент — юридическое лицо, индивидуальный предприниматель, физическое лицо, заключившее или собирающееся заключить с Оператором какой-либо договор (соглашение) в своем интересе или от имени и в интересах представляемого им юридического лица / индивидуального предпринимателя / физического лица в соответствии с требованиями действующего законодательства.
2.6. Обезличивание Персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность Персональных данных конкретному Субъекту Персональных данных.
2.7. Обработка Персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с Персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Персональных данных.
2.8. Оператор или ООО «ДубльГИС» или Администрация — Общество с ограниченной ответственностью «ДубльГИС», самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку Персональных данных, а также определяющее цели обработки Персональных данных, состав Персональных данных, подлежащих обработке, действия (операции), совершаемые с Персональными данными.
2.9. Партнер — юридическое лицо, с которым у ООО «ДубльГИС» заключены договоры в рамках реализации модели продажи мест для размещения рекламы на площадках 2ГИС (в Сервисе 2ГИС) на разных территориях в отсутствии собственных бизнес-единиц на этих территориях.
2.10. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту Персональных данных), в том числе фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, должность, профессия, доходы, изображение, номер телефона и/или адрес электронной почты Субъекта Персональных данных, данные, автоматически передаваемые Оператору с помощью установленного на устройстве Субъекта Персональных данных программного обеспечения (при условии, что на основании этих данных можно идентифицировать Субъекта), в том числе IP-адрес, полученные Оператором в результате договорных или иных гражданско-правовых отношений с третьими лицами, а также при осуществлении Оператором хозяйственной деятельности (в том числе, Персональные данные Работника и/или Контрагента).
2.11. Пользователь — дееспособное физическое лицо, использующее или намеревающееся использовать Сервисы 2ГИС в своем интересе или от имени и в интересах представляемых им юридических лиц и/или индивидуальных предпринимателей, информация о которых размещена в Справочнике организаций 2ГИС.
2.12. Работник — физическое лицо, находящееся в трудовых отношениях с Оператором.
2.13. Распространение Персональных данных — действия, направленные на раскрытие Персональных данных неопределенному кругу лиц;
2.14. Сервисы 2ГИС — совокупность программных продуктов 2ГИС, объединяющих в своем составе Цифровые планы и/или Справочники организаций, а также каждая входящая в их состав или используемая совместно с ними программа для ЭВМ или база данных в отдельности, и аппаратных средств, доступ к которым предоставляется пользователям с использованием сайта; программы для ЭВМ, объединяющие в своем составе справочную информацию об ассортименте, ценах, скидках, акциях и иной информации производителей и/или продавцов товаров/ работ/ услуг. К примеру, сайты в доменах flamp.ru, 2gis.ru, 2gis. kz, 2gis. kg, 2gis. uz, 2gis. az, 2gis.com, мобильное приложение 2ГИС;
2.15. Соискатели — кандидаты на замещение вакантных должностей.
2.16. Справочник организаций — база данных электронного справочника, включающая информацию о наименованиях, местонахождении, телефонах, адресах электронной почты и сайтов, видах производимых и реализуемых товаров (выполняемых работ, оказываемых услуг) и прочие сведения об организациях и индивидуальных предпринимателях, находящихся в пределах определенной территории, совпадающей с границами совмещенного с ним Цифрового плана, а также иных организациях по усмотрению ООО «ДубльГИС».
2.17. Субъект Персональных данных (Субъект) — физическое лицо, обладающее Персональными данными прямо или косвенно его определяющими.
2.18. Уничтожение Персональных данных — действия, в результате которых становится невозможным восстановить содержание Персональных данных в информационной системе Персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.19. Цифровой план — база данных электронной карты, включающая геоинформационные данные о географических объектах и населенных пунктах в пределах территории, ограниченной определенными географическими координатами.
3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. При организации обработки Персональных данных Субъектов Персональных данных ООО «ДубльГИС» руководствуется следующими принципами:
· законности целей и способов обработки Персональных данных;
· добросовестности и справедливости;
· обработки только Персональных данных, которые отвечают целям их обработки;
· обеспечения точности Персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки Персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных, или неточных данных;
· соответствия целей обработки Персональных данных целям, заранее определенным и заявленным при сборе Персональных данных, а также полномочиям Оператора;
· соответствия содержания и объема обрабатываемых Персональных данных, способов обработки Персональных данных заявленным целям обработки. Обрабатываемые Персональные данные не являются избыточными по отношению к заявленным целям обработки;
· достоверности Персональных данных, их достаточности для целей обработки, недопустимости обработки Персональных данных, избыточных по отношению к целям, заявленным при сборе Персональных данных;
· недопустимости объединения баз данных, содержащих Персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
· хранения Персональных данных в форме, позволяющей определить Субъекта Персональных данных, не дольше, чем этого требуют цели их обработки. Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЛЯ КАЖДОЙ КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Для каждой категории Субъектов Персональных данных определены цели обработки Персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных.
5. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1.В целях обеспечения прав и свобод человека и гражданина при обработке Персональных данных Оператором соблюдаются следующие требования:
· обработка Персональных данных может осуществляться исключительно для обеспечения соблюдения целей, указанных в разделе 4 настоящей Политики;
· Субъекты Персональных данных или их законные представители имеют право ознакомиться с документами Оператора, устанавливающими порядок обработки Персональных данных Субъектов, а также их права и обязанности в этой области;
· Субъекты Персональных данных не должны отказываться от своих прав на сохранение и защиту Персональных данных.
5.2.Субъект самостоятельно принимает решение о предоставлении своих Персональных данных и дает согласие на их обработку Оператором.
5.3.В случае недееспособности Субъекта Персональных данных все Персональные данные Субъекта следует получать от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении Персональных данных своего подопечного и дает согласие на их обработку Оператором.
5.4. Согласие на обработку Персональных данных может быть отозвано Субъектом Персональных данных на основании его письменного запроса или в форме электронного документа, подписанного электронной подписью в соответствии с законодательством РФ, а также иными способами, предусмотренными законодательством РФ. В случае, указанном в пункте 5.3. настоящей Политики, согласие может быть отозвано законным представителем Субъекта Персональных данных.
5.5. В случаях, когда Оператор может получить необходимые Персональные данные Субъекта только у третьей стороны, Субъект должен быть уведомлен об этом заранее и от него должно быть получено согласие. В уведомлении Оператор обязан сообщить о целях, способах и источниках получения Персональных данных, а также о характере и перечне подлежащих получению Персональных данных и возможных последствиях отказа Субъекта дать согласие на их получение.
5.6.Если персональные данные получены не от Субъекта персональных данных, Оператор, за исключением случаев, предусмотренных п. 5.7., до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
· наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
· цель обработки персональных данных и ее правовое основание;
· перечень персональных данных;
· предполагаемые пользователи персональных данных;
· права субъекта персональных данных;
· источник получения персональных данных.
5.7.Оператор освобождается от обязанности предоставить Субъекту Персональных данных сведения, указанные в п. 5.6. в случаях, если:
· Субъект Персональных данных уведомлен об осуществлении обработки его Персональных данных Оператором;
· Персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого, либо выгодоприобретателем, или поручителем, по которому является Субъект Персональных данных;
· Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006 года;
· Оператор осуществляет обработку Персональных данных для статистических или иных исследовательских целей на основе обезличенных данных, если при этом не нарушаются права и законные интересы Субъекта Персональных данных;
· предоставление Субъекту Персональных данных указанных выше сведений нарушает права и законные интересы третьих лиц.
5.8.Оператор не имеет права получать и обрабатывать Персональные данные Субъекта, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, его биометрические данные, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», а также Персональные данные Работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым Кодексом Р Ф или иными федеральными законами. Запрещается запрашивать информацию о состоянии здоровья Работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения Работником трудовой функции.
5.9.При принятии решений, затрагивающих интересы Работника, Оператор не имеет права основываться на Персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных средств доставки.
5.10. Полученные ООО «ДубльГИС» Персональные данные хранятся на следующих видах носителей:
· Бумажные носители (в том числе личные дела, трудовые договоры, трудовые книжки Работников);
· Электронные носители (в том числе корпоративные автоматизированные информационные системы).
5.11. Обработка Персональных данных Субъектов осуществляется смешанным путем:
· неавтоматизированным способом обработки Персональных данных;
· автоматизированным способом обработки Персональных данных (с помощью ПЭВМ и специальных программных продуктов).
5.12. Обработка Персональных данных осуществляется с соблюдением порядка, предусмотренного Федеральным законом от 27.07.2006 № 152 «О персональных данных», Постановлением Правительства от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и Постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
5.13. Документы, содержащие Персональные данные, являются конфиденциальными.

6. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1.Хранение Персональных данных может осуществляться следующими способами:
· в электронном виде:
— в информационных системах / базах данных ООО «ДубльГИС»;
— на Служебных средствах вычислительной техники;
— на внешних машинных (электронных) носителях информации.
· на бумажном носителе:
— в помещениях структурных подразделений, осуществляющих хранение материальных носителей Персональных данных, в специально установленных для этого местах;
— в архиве в соответствии с законодательством РФ об архивном деле.
6.2.Оператор хранит Персональные данные в течение следующих сроков:
· Персональные данные Работников, хранятся в течение срока действия трудовых договоров с Работниками и 6 лет, следующих за датой прекращения трудовых отношений;
· Персональные данные родственников Работников хранятся до достижения целей обработки Персональных данных;
· Персональные данные Соискателей хранятся в течение 10 лет;
· Персональные данные работников Партнеров и Аффилированных лиц хранятся в течение срока действия трудового договора с Партнером или Аффилированным лицом;
· Персональные данные Аффилированных лиц (когда Аффилированное лицо является Субъектом Персональных данных), хранятся до достижения целей обработки Персональных данных;
· Персональные данные Контрагентов, работников и/или представителей Контрагентов ООО «ДубльГИС» хранятся в пределах срока действия соответствующего договора и в течение 10 лет после прекращения его действия, если меньший срок не будет согласован сторонами договора отдельно;
· Персональные данные Пользователей хранятся всё время использования аккаунта/Личного кабинета Пользователем и после его удаления в течение срока, определенного в соответствии с Федеральным законом от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также до достижения целей обработки Персональных данных или до отзыва согласия на обработку персональных данных пользователем и в течение срока, определенного в соответствии с Законом № 149-ФЗ;
· Персональные данные членов органов управления ООО «ДубльГИС» хранятся в течение 5 лет после выхода члена из состава органа управления.
6.3.Если в соответствии с требованиями применимого законодательства, предусмотрен иной, более длительный срок хранения какой-либо категории Персональных данных, то он подлежит применению. По истечении срока хранения данные будут уничтожены в порядке, определенном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
6.4.Хранение Персональных данных Субъектов осуществляется структурными подразделениями Оператора в соответствии с перечнем Персональных данных (см. раздел 4 настоящего Положения) и перечнем информационных систем Персональных данных, утвержденным у Оператора (см. Приложение 1).
6.5.Персональные данные Субъектов преимущественно хранятся на электронных носителях в электронном виде в персональных компьютерах, подключенных к локальной компьютерной сети Оператора. Доступ к электронным базам данных ограничен паролем.
6.6.Доступ к бумажным и электронным носителям Персональных данных получают только те Работники, которым это необходимо для выполнения их должностных обязанностей.
6.7.ООО «ДубльГИС» обеспечивает необходимые организационные и технические меры для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения Персональных данных, а также от иных неправомерных действий.
6.8.Возможна передача Персональных данных Субъектов по внутренней сети Оператора с использованием технических и программных средств защиты информации, с доступом только для Работников, допущенных к работе с Персональными данными Субъектов и только в объеме, необходимом данным Работникам для выполнения своих должностных обязанностей.
6.9.Подразделения ООО «ДубльГИС», осуществляющие кадровое делопроизводство, ведут личные дела Работников, в которых содержатся Персональные данные Работников и иные сведения, связанные с трудовой деятельностью Работников. Наряду с копиями документов и личными заявлениями к личному делу Работника приобщается анкета, заполненная Работником. Личные дела, трудовые договоры и трудовые книжки Работников хранятся в помещениях кадровых служб в несгораемых шкафах (сейфах). Ответственность за хранение указанных документов возлагается на руководителя кадрового подразделения.
6.10. Персональные данные Работников на бумажных носителях хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам в специально отведенной секции сейфа (или шкафах), обеспечивающего защиту от несанкционированного доступа.
6.11. Доступ к Персональным данным Работников на бумажных носителях осуществляется в порядке, предусмотренном Разделом 7 настоящего Положения.
6.12. Подразделения Оператора, хранящие Персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному Постановлением Правительства Р Ф 15 сентября 2008 г. № 687.
6.13. Хранение Персональных данных должно осуществляться в форме, позволяющей определить Субъекта Персональных данных, не дольше, чем этого требуют цели обработки Персональных данных, если срок хранения Персональных данных не установлен Федеральным законом № 152-ФЗ «О персональных данных» или соответствующим договором. Обрабатываемые Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.
6.14. Хранение документов, содержащих Персональные данные Субъектов, осуществляется в течение установленных действующими нормативными или локальными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению.
7. ВНУТРЕННИЙ ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

7.1.Доступ к Персональным данным Субъектов имеют Работники Оператора, допущенные к работе с Персональными данными Субъектов. Данным категориям сотрудников в их должностные обязанности включается пункт о сохранении конфиденциальности обрабатываемой информации.
7.2.При предоставлении доступа к Персональным данным Оператор должен соблюдать следующие требования:
· разрешать доступ к Персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те Персональные данные, которые необходимы для выполнения конкретных функций;
· не запрашивать информацию о состоянии здоровья Работника ООО «ДубльГИС», за исключением тех сведений, которые относятся к вопросу о возможности выполнения Работником трудовой функции.
7.3.Доступ к Персональным данным предоставляется Работнику ООО «ДубльГИС» в соответствии с приказом о назначении должностных лиц, которым необходим доступ к Персональным данным в целях выполнения их функциональных обязанностей, утвержденным генеральным директором ООО «ДубльГИС». В приложении к указанному приказу определен перечень должностей, непосредственно использующих Персональные данные в служебных целях, которые имеют право обрабатывать только те Персональные данные, которые необходимы им для выполнения конкретных функций в соответствии с должностной инструкцией указанных лиц.
7.4.Руководители структурных подразделений Оператора имеют доступ к Персональным данным Работников соответствующих структурных подразделений в порядке административной и функциональной подчиненности.
7.5.Остальные Работники ООО «ДубльГИС» получают доступ к Персональным данным других Работников в установленном действующим законодательством и настоящим Положением порядке.
7.6.При осуществлении доступа работника к информационным системам / базам данных ему должен быть предоставлен минимальный набор прав доступа в рамках закрепленной за пользователем роли. В информационных системах реализуется контроль доступа пользователя к Персональным данным.
7.7.Доступ работника к обрабатываемым Персональным данным прекращается в случае отсутствия (минования) производственной необходимости, изменения функциональных и должностных обязанностей, длительного отпуска, увольнения работника. В целях надлежащей организации производственного процесса и обеспечения оптимального взаимодействия между подразделениями и отдельными Работниками все работники ООО «ДубльГИС» имеют доступ к информационной системе «Планета», размещенной на корпоративном сайте planeta.2gis.ru/, содержащим следующую информацию о Работниках:
· фамилия, имя, отчество;
· дата рождения;
· рабочий номер телефона;
· мобильный номер телефона;
· адрес корпоративной электронной почты;
· адрес личной электронной почты;
· адреса личных страниц в социальных сетях;
· имя (никнейм) в программных продуктах, используемых Работником для связи;
· офис (идентификатор места работы);
· занимаемая должность;
· компания (компания работодателя / представляемого лица);
· фотографические изображения.
· город местонахождения работника;
· страна местонахождения работника;
· хобби, увлечения работника.
7.8.Работники ООО «ДубльГИС», получающие Персональные данные, обязаны:
· выполнять требования настоящего Положения по обеспечению защиты Персональных данных;
· пресекать действия других лиц, которые могут привести к разглашению Персональных данных;
· использовать Персональные данные только в целях выполнения функциональных обязанностей;
· использовать в своей работе лишь те Персональные данные, которые действительно необходимы для полноценного выполнения функциональных обязанностей;
· при составлении документов, включающих Персональные данные, ограничиваться минимальными, действительно необходимыми, сведениями и количеством экземпляров;
· документы, содержащие Персональные данные, во время работы располагать так, чтобы исключить возможность ознакомления с ними других лиц, в том числе допущенных к подобным сведениям, но не имеющих к ним прямого отношения;
· об утрате или недостаче документов, содержащих Персональные данные, немедленно сообщать своему непосредственному руководителю;
· отказывать в предоставлении Персональных данных третьим лицам без письменного разрешения ООО «ДубльГИС» или уполномоченного им лица;
· в случае увольнения сдать непосредственному руководителю все служебные документы, содержащие Персональные данные (бумажные, электронные носители), которые находились в его распоряжении в связи с выполнением функциональных обязанностей во время работы в ООО «ДубльГИС».
7.9.Субъект Персональных данных, данные о котором обрабатываются в ООО «ДубльГИС», имеет право на свободный доступ к своим Персональным данным, получение копий своих Персональных данных (за исключением случаев, предусмотренных федеральным законом) на основании его письменного запроса.
7.10. ООО «ДубльГИС» обязано в порядке, предусмотренном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», сообщить Субъекту Персональных данных или его законному представителю информацию о наличии Персональных данных, относящихся к соответствующему Субъекту Персональных данных, а также предоставить возможность ознакомления с ними при обращении Субъекта Персональных данных или его законного представителя или в течение десяти рабочих дней с даты получения запроса Субъекта Персональных данных или его законного представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
8. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1.При передаче Персональных данных Субъекта Оператор обязан соблюдать следующие требования:
· не сообщать Персональные данные Субъекта третьей стороне без надлежащего согласия Субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, а также в случаях, предусмотренных действующим законодательством;
· не сообщать Персональные данные Субъекта в коммерческих целях без его надлежащего согласия;
· передавать Персональные данные Субъекта представителям Субъекта в порядке, установленном действующим законодательством, и ограничивать эту информацию только теми Персональными данными Субъекта, которые необходимы для выполнения указанными представителями их функций;
· предупредить лиц, получающих Персональные данные Субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
8.2.Лица, получающие Персональные данные Субъекта, обязаны соблюдать требования конфиденциальности.
8.3.Все сведения о передаче Персональных данных Субъекта регистрируются в Журналах учета обращений и запросов Субъекта Персональных данных, уполномоченного органа по защите прав субъектов Персональных данных, а также третьих лиц, участников правоотношений целях контроля правомерности использования данной информации лицами, ее получившими. В Журналах фиксируются сведения о лице, направившем запрос, дата передачи Персональных данных или дата уведомления об отказе в их предоставлении, а также указываются Персональные данные, которые были переданы.
8.4.Передача Персональных данных Субъектов третьим лицам осуществляется Оператором только с их надлежащего согласия, за исключением случаев, если:
· передача необходима для защиты жизни и здоровья Субъекта, либо других лиц и получение его согласия невозможно;
· по запросу органов дознания, следствия и суда в связи с проведением расследования или судебным разбирательством;
· передача Персональных данных осуществляется в рамках исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект Персональных данных, кроме случаев, требующих наличие согласия Субъекта Персональных данных;
· в иных случаях, прямо предусмотренных федеральными законами.
8.5. В случае оформления письменного согласия Субъекта на передачу его Персональных данных третьим лицам, согласие должно включать в себя:
· фамилию, имя, отчество, адрес Субъекта, серию, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
· наименование и адрес оператора, получающего согласие субъекта персональных данных
· цель обработки Персональных данных Субъекта третьей стороной;
· перечень Персональных данных, на передачу которых дается согласие Субъекта;
· перечень действий третьей стороны с Персональными данными, на совершение которых дается согласие, общее описание используемых третьей стороной способов обработки Персональных данных;
· срок, в течение которого действует согласие, а также порядок его отзыва.
8.6. В случае смерти Субъекта согласие на обработку его Персональных данных дают в письменной форме наследники Субъекта, если такое согласие не было дано Работником при его жизни.
8.7. Согласия Работника на распространение его Персональных данных не требуется, в случае обезличивания Персональных данных.
8.8. Информация, относящаяся к Персональным данным Работника, может быть предоставлена государственным органам и органам местного самоуправления в пределах их полномочий, установленных федеральными законами. Основанием для передачи Персональных данных Работника является мотивированный требованиями законодательства или решением суда письменный запрос от должностного лица соответствующего государственного органа или органа местного самоуправления, подписанный руководителем данного органа, заверенный гербовой печатью.
8.9. Родственники и члены семьи Работника доступ к его Персональным данным не имеют.
8.10. В случае если лицо, обратившееся с запросом о предоставлении Персональных данных, не уполномочено федеральным законом, настоящей Политикой, другими локальными нормативными актами ООО «ДубльГИС» на получение Персональных данных Субъекта, либо отсутствует надлежащее согласие Субъекта на предоставление его Персональных данных, Оператор обязан отказать в предоставлении Персональных данных Субъекта указанному лицу.
8.11. Все меры конфиденциальности при сборе, обработке и хранении Персональных данных Субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
8.12. В случае если ООО «ДубльГИС» пользуется услугами третьих лиц на основании заключенных договоров (либо иных оснований), и в силу данных договоров они должны иметь доступ к Персональным данным, обрабатываемым ООО «ДубльГИС», то соответствующие Персональные данные предоставляются ООО «ДубльГИС» только после подписания с данными лицами соглашения о неразглашении Персональных данных или включения в договоры пунктов о неразглашении Персональных данных, в том числе предусматривающих защиту Персональных данных, и иных пунктов, предусмотренных Положением о договорной работе ООО «ДубльГИС».
8.13. Все типовые формы договоров ООО «ДубльГИС» должны содержать положения про обработку персональных данных для того, чтобы исключить риск незаконной обработки персональных данных со стороны контрагента.
8.14. В случае заключения расходного/доходного договора с условием об использовании персональных данных контактных лиц за пределами срока действия договора, условие об этом необходимо включить в договор.
8.15. В случае поручения ООО «ДубльГИС» обработчику обработки персональных данных, необходимо включить положение об этом в договор.
8.16. Лицо, осуществляющее обработку персональных данных по поручению ООО «ДубльГИС» должно соответствовать требованиям, предусмотренным Федеральным закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
8.17. В поручении должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных по поручению ООО «ДубльГИС», цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федеральным закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», обязанность по запросу ООО «ДубльГИС» в течение срока действия поручения, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения ООО «ДубльГИС» требований, настоящего пункта, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных», в том числе требование об уведомлении ООО «ДубльГИС» о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона «О персональных данных».
8.18. В случае передачи персональных данных, необходимо включить положение об этом в договор.
8.19.Трансграничная передача Персональных данных. До начала трансграничной передачи Персональных данных ООО «ДубльГИС» определяет:
· цели трансграничной передачи Персональных данных;
· правовые основания трансграничной передачи Персональных данных;
· категории субъектов Персональных данных;
· состав передаваемых Персональных данных;
· перечень иностранных государств, под юрисдикцией которых находятся иностранные получатели Персональных данных (органы государственной власти, юридические или физические лица).
8.20. ООО «ДубльГИС» уведомляет Роскомнадзор об осуществлении трансграничной передачи Персональных данных.
8.21. ООО «ДубльГИС» до подачи уведомления, предусмотренного п. 8.20 обязано получить от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных, следующие сведения:

1. сведения о принимаемых мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;
2. информацию о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находятся органы власти иностранного государства, иностранные физические лица, иностранные юридические лица, которым планируется трансграничная передача персональных данных (в случае, если предполагается осуществление трансграничной передачи персональных данных органам власти иностранного государства, иностранным физическим лицам, иностранным юридическим лицам, находящимся под юрисдикцией иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных);
3. сведения об органах власти иностранного государства, иностранных физических лицах, иностранных юридических лицах, которым планируется трансграничная передача персональных данных (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).

8.22. После получения сведений, указанных в п. 8.21. ООО «ДубльГИС» обязано провести оценку соблюдения конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке.
8.23. Передача или поручение обработки Персональных данных иностранному получателю осуществляется с учетом условий и ограничений, установленных Законом № 152-ФЗ, нормативными правовыми актами Правительства Российской Федерации.

9. БЛОКИРОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Блокирование Персональных данных конкретного Субъекта Персональных данных должно осуществляться во всех информационных системах Персональных данных ООО «ДубльГИС», включая архивы баз данных, содержащих такие Персональные данные.
9.2. Блокирование Персональных данных в ООО «ДубльГИС» осуществляется:
· в случае выявления неправомерной обработки Персональных данных при обращении/направлении запроса Субъекта Персональных данных или его представителя либо уполномоченного органа по защите прав Субъектов Персональных данных с момента такого обращения или получения указанного запроса на период проверки;
· в случае отсутствия возможности уничтожения Персональных данных в установленные сроки до их уничтожения.
9.3. После устранения выявленной неправомерной обработки Персональных данных ООО «ДубльГИС» осуществляет снятие блокирования Персональных данных. Решение о блокировании и снятии блокирования Персональных данных принимается лицом, ответственным за организацию обработки Персональных данных в ООО «ДубльГИС».
10. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Персональные данные хранятся в течение срока, определенного в разделе 6 настоящей Политики, и подлежат уничтожению по достижении целей обработки, истечения срока или в случае утраты необходимости в их достижении.
10.2. Документы, содержащие Персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном настоящей Политикой и архивным законодательством Российской Федерации.
10.3. Уничтожение документов, содержащих Персональные данные, производится:
· в случае отзыва согласия Субъекта Персональных данных, если отсутствуют иные законные основания обработки Персональных данных;
· по достижении целей их обработки согласно номенклатуре дел и документов или при утрате необходимости в их достижении;
· Персональные данные больше не требуются для достижения целей, в которых они были получены;
· по достижении окончания срока хранения Персональных данных, оговоренного в соответствующем соглашении заинтересованных сторон;
· истек срок согласия на обработку Персональных данных;
· в случае выявления неправомерной обработки Персональных данных в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки Персональных данных.
10.4. Уничтожение Персональных данных, находящихся на машинных носителях информации, выполняется средствами информационной системы (операционной системы, системы управления базами данных).
10.5. Уничтожение материальных носителей с Персональными данными осуществляется согласно документу «Регламент по организации обращения с защищаемыми носителями персональных данных».
10.6. Компания осуществляет документирование фактов уничтожения Персональных данных в ИСПДн и на материальных носителях, в соответствии с Требованиями к подтверждению уничтожения Персональных данных, утвержденными Приказом Роскомнадзора от 28.10.2022 № 179 (далее — Приказ № 179), Актом Акт об уничтожении персональных данных в базах данных, на материальных (бумажных, электронных) носителях по форме (далее — Акт).
10.7. В случае если Компания подтверждает уничтожение Персональных данных в ИСПДн, то к Акту необходимо приложить также выгрузку из журнала регистрации событий в ИСПДн.
10.8. В случае если выгрузка журнала регистрации событий в ИСПДн не позволяет указать отдельные сведения, предусмотренные Приказом № 179, то допускается указывать такие сведения в Акте.
11. ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ

11.1. Методы и способы защиты Персональных данных в информационных системах Оператора должны соответствовать требованиям, установленным:
· Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
· Постановлением Правительства Р Ф от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
· Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
· Иным требованиям законодательства о персональных данных.
11.2. При обработке Персональных данных должны приниматься необходимые правовые, организационные и технические меры для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Персональных данных, а также от иных неправомерных действий.
11.3. Обмен Персональными данными при их обработке в информационных системах Персональных данных осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.
11.4. Размещение информационных систем Персональных данных, специальное оборудование и охрана помещений, в которых ведется работа с Персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей Персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
11.5. Для осуществления мероприятий по защите Персональных данных при их обработке в информационных системах Персональных данных системы защиты могут включать в себя следующие подсистемы: управления доступом; регистрации и учета; обеспечения целостности; антивирусной защиты; обеспечения безопасности межсетевого взаимодействия; анализа защищенности; обнаружения вторжений.
11.6. Для обеспечения безопасности Персональных данных при необходимости осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
11.7. В целях обеспечения безопасности Персональных данных при их обработке в информационных системах Персональных данных организуется контроль соблюдения условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией, а также разбирательство и составление заключений по фактам несоблюдения условий доступа к Персональным данным, использования средств защиты информации, которые могут привести к нарушениям конфиденциальности Персональных данных.
11.8. При обнаружении нарушений порядка предоставления Персональных данных незамедлительно приостанавливается предоставление Персональных данных пользователям информационной системы Персональных данных, получивших их с нарушением установленного порядка, до выявления причин нарушений и устранения этих причин.
11.9. Также в ООО «ДубльГИС» применяются следующие меры по обеспечению безопасности персональных данных:
· оценен вред, который может быть причинен Субъекту персональных данных в случае нарушения законодательства РФ в области персональных данных, оценено соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения законодательства РФ в области персональных данных;
· проводится ознакомление работников ООО «ДубльГИС», непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ в области персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику ООО «ДубльГИС» в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
· определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
· проводится оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;
· осуществляется контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
· в случаях и порядке, предусмотренным законодательством о персональных данных обеспечивается взаимодействие с уполномоченным органом по защите прав субъектов персональных данных РФ в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, а также, если применимо, с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных;
11.10. Ответственность за организацию защиты Персональных данных в информационных системах Персональных данных возлагается на подразделения безопасности и информационных технологий.
12. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ОПЕРАТОРА

12.1. В целях обеспечения защиты Персональных данных Субъекты имеют право:
· получать полную информацию о своих Персональных данных и обработке этих данных (в том числе автоматизированной);
· осуществлять свободный бесплатный доступ к своим Персональным данным, включая право получать копии любой записи, содержащей Персональные данные Субъекта, за исключением случаев, предусмотренных законодательством;
· требовать исключения или исправления неверных, или неполных Персональных данных, а также данных, обработанных с нарушением законодательства;
· при отказе Оператора исключить или исправить Персональные данные Субъекта — заявить в письменной форме о своем несогласии, представив соответствующее обоснование;
· дополнить Персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
· требовать от Оператора уведомления всех лиц, которым ранее были сообщены неверные или неполные Персональные данные Субъекта, обо всех произведенных в них изменениях или исключениях из них;
· обжаловать в суде любые неправомерные действия или бездействие Оператора, или уполномоченного им лица при обработке и защите Персональных данных Субъекта;
· реализовать иные права, предусмотренные законодательством о персональных данных.
12.2. Для защиты Персональных данных Субъектов Оператор обязан:
· за свой счет обеспечить защиту Персональных данных Субъекта от неправомерного их использования или утраты в порядке, установленном законодательством РФ;
· по запросу ознакомить Субъекта Персональных данных или его законных представителей с настоящей Политикой и его правами в области защиты Персональных данных, а также предоставить ему полную информацию о его Персональных данных и обработке этих данных;
· осуществлять передачу Персональных данных Субъекта только в соответствии с настоящей Политикой и законодательством Российской Федерации, а также иным применимым законодательством;
· осуществлять иные обязанности, предусмотренные законодательством о персональных данных.
12.3. Защита информации, содержащей Персональные данные, представляет собой принятие Оператором правовых, организационных и технических мер, направленных на:
· обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
· соблюдение конфиденциальности информации ограниченного доступа;
· реализацию права на доступ к информации.
12.4. Система защиты Персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности Персональных данных и информационных технологий, используемых в информационных системах в соответствии с Постановлением Правительства Р Ф от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
12.5. Для обеспечения безопасности Персональных данных Субъектов при неавтоматизированной обработке Оператором предпринимаются следующие меры:
Определяются места хранения Персональных данных Субъектов, которые оснащаются следующими средствами защиты:
· в кабинете соответствующего департамента находятся специально оборудованные шкафы, защищенные от несанкционированного доступа;
· помещения Оператора находятся под круглосуточной охраной сотрудников вневедомственной охраны;
· все действия по обработке Персональных данных Субъектов осуществляются только Работниками Оператора, надлежащим образом допущенными к работе с Персональными данными Субъектов, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.
12.6. Обработка, уточнение, уничтожение или блокирование Персональных данных Субъектов при осуществлении их обработки без использования средств автоматизации осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
12.7. Для обеспечения безопасности Персональных данных Субъектов Оператором при автоматизированной обработке предпринимаются следующие меры:
· Все действия при автоматизированной обработке Персональных данных Субъектов осуществляются только Работниками Оператора, занимающим должности, указанные в списке должностей, утвержденном соответствующим приказом, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.
· Персональные компьютеры, в которых содержатся Персональные данные Субъектов, защищены паролями доступа. Пароли устанавливаются администратором информационной безопасности Оператора и сообщаются индивидуально Работнику, допущенному к работе с Персональными данными и осуществляющему обработку Персональных данных Субъектов на данном персональном компьютере.
· Обработка Персональных данных при автоматизированной обработке Персональных данных осуществляется с соблюдением порядка, предусмотренного Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
12.8. ООО «ДубльГИС» осуществляет регулярный мониторинг изменений законодательства о персональных данных и в случае необходимости осуществляет информирование работников о соответствующих изменениях.
12.9. В случае изменения сведений, направленных ООО «ДубльГИС» в уполномоченный орган по защите прав субъектов персональных данных в уведомлении об обработке персональных данных, ООО «ДубльГИС» не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить уполномоченный орган по защите прав субъектов персональных данных обо всех произошедших за указанный период изменениях.

13. ТРЕБОВАНИЯ К СОГЛАСИЮ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

13.1. Согласие на обработку персональных данных должно отвечать следующим требованиям:
· должно быть конкретным, информированным, сознательным, предметным и однозначным;
· может быть дано Субъектом или его представителем в любой позволяющей подтвердить факт его получения форме, если законодательством РФ не установлена обязанность получать согласие в письменной форме;
· должно быть дано свободно, своей волей и в своем интересе.
13.2. Обработка персональных данных Субъектов в целях продвижения товаров, работ, услуг на рынке путем прямых контактов с Субъектом с помощью средств связи должна осуществляться только при условии предварительного согласия Субъекта. При этом необходимо обеспечить наличие доказательственной базы получения такого согласия. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в целях продвижения товаров, работ, услуг на рынке путем прямых контактов.
13.3. Согласие Субъекта в письменной форме и в форме электронного документа.
13.3.1. Оператор персональных данных, обязан получать согласие Субъекта в письменной форме в следующих случаях:
· включение персональных данных Субъекта в общедоступные источники персональных данных;
· обработка биометрических персональных данных;
· обработка специальных категорий персональных данных;
· трансграничная передача персональных данных на территорию государства, не обеспечивающего адекватную защиту прав Субъектов персональных данных;
· принятие решения на основании исключительно автоматизированной обработки персональных данных, порождающего юридические последствия в отношении Субъекта или иным образом затрагивающего его права и законные интересы;
13.4. Содержание согласие Субъекта в письменной форме должно отвечать требованиям ч. 4 ст. 9 федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных»:
13.5. Согласие Субъекта в письменной форме оформляется на бумажном носителе с собственноручной подписью Субъекта или его представителя. Равнозначным, содержащему собственноручную подпись Субъекта, согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с требованиями федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».
13.6. Согласие Субъекта в любой форме
13.6.1. В случаях, не требующих в соответствии с действующим законодательством оформлять Оператору согласие в письменной форме, может быть получено согласие в любой форме с применением сервисов Оператора, принадлежащих или используемых Оператором, позволяющей подтвердить факт его получения. К таким случаям относятся получение согласий в письменной форме и в форме электронного документа, а также в случаях совершения Субъектом явного действия, например, но не ограничиваясь:
· отправка Оператору после процедуры ознакомления с текстом согласия на обработку персональных данных ответного SMS-сообщения с Кодом подтверждения полученного Субъектом на мобильный номер телефона или посредством голосового подтверждения;
· нажатие Субъектом на кнопку «Подтверждаю», «Согласен», «Принимаю», «Продолжить» и т. п. после процедуры ознакомления с текстом согласия на обработку персональных данных;
· заполнение Чек-бокса рядом с текстом согласия на обработку персональных данных в графическом интерфейсе бизнес-сервиса;
· ответное электронное письмо на электронный почтовый ящик оператора, исходящее от Субъекта с информацией о согласии на обработку персональных данных.
13.7. Обеспечение доказательств наличия правовых оснований на обработку персональных данных.
13.7.1. Оператор осуществляет учет и хранение согласий в течение срока действия согласия, увеличенного на три года (общий срок исковой давности).
13.7.2. В соответствии с требованиями федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных» по запросу уполномоченного органа или Субъекта Оператор обязан предоставить доказательство получения согласия Субъекта на обработку его персональных данных или доказательство наличия иных оснований обработки персональных данных.
13.7.3. Подтверждением факта получения согласия на бумажном носителе является бланк согласия с собственноручной подписью Субъекта или его представителя и указанием даты его подписи.
13.7.4. Хранение Согласий, оформленных на бумажном носителе, в зависимости от вида осуществляется в ответственных подразделениях оператора.
13.7.5. При получении согласия от представителя Субъекта Оператору необходимо осуществлять хранение документов, подтверждающих полномочия представителя, в течение срока, установленного для хранения согласий. Хранение документов, подтверждающих полномочия представителя, осуществляется совместно с согласиями.
13.7.6. Место хранения согласий, а также лица ответственные за организацию хранения, определяется внутренним локальным нормативным документом Оператора.
13.7.7. В целях обеспечения подтверждения получения Оператором согласий в электронном виде, в информационных системах Оператора должны быть реализованы функции учета полученных согласий и хранение подтверждений (с возможностью их выгрузки для последующей печати).
14. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

14.1. Лица, виновные в нарушении требований законодательства о персональных данных, несут ответственность, предусмотренную действующим законодательством Российской Федерации.

Редакция от 08.12.2023

1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1 Назначение документа
1.1.1. С целью поддержания деловой репутации и обеспечения выполнения норм федерального законодательства, согласно требованиям Федерального закона от 27.07.2006 г. № 152-ФЗ «О Персональных данных», ООО «ДубльГИС» определяет важнейшими задачами: обеспечение законности обработки Персональных данных в бизнес-процессах ООО «ДубльГИС» и обеспечение надлежащего уровня безопасности обрабатываемых в ООО «ДубльГИС» Персональных данных.
1.1.2. Настоящая Политика в отношении обработки персональных данных (далее — Политика) разработана в соответствии с п. 2 ч.1 ст. 18.1 Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет основные принципы, цели, условия и способы обработки Персональных данных, права и обязанности ООО «ДубльГИС» при обработке персональных данных, права Субъектов персональных данных, а также реализуемые в ООО «ДубльГИС» меры по обеспечению безопасности Персональных данных при осуществлении установленных в Уставе видов деятельности.
1.1.3. Положения настоящей Политики служат основой для разработки локальных актов, регламентирующих в ООО «ДубльГИС» вопросы обработки Персональных данных.
1.2 Нормативные ссылки
1.2.1. Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»).
1.2.2. Федеральный закон РФ от 27.07.2006. № 149-ФЗ «Об информации, информационных технологиях и защите информации».
1.2.3. Постановление Правительства Р Ф от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
1.2.4. Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
1.3 Область действия
1.3.1. Действие настоящей Политики распространяется на все процессы ООО «ДубльГИС», в рамках которых осуществляется обработка Персональных данных, как с использованием средств вычислительной техники, в том числе с использованием информационно-телекоммуникационных сетей, так и без использования таких средств.
1.4 Утверждение и пересмотр

1.4.1. Настоящая Политика вступает в силу с момента ее утверждения Генеральным директором ООО «ДубльГИС» и действует бессрочно.
1.4.2. ООО «ДубльГИС» проводит пересмотр положений настоящей Политики и их актуализацию по мере необходимости, но не реже одного раза в три года, а также:

• при изменении требований законодательства РФ к порядку обработки и обеспечению безопасности Персональных данных;
• по результатам проверок органа по защите прав Субъектов Персональных данных, выявившим несоответствия требованиям законодательства РФ по обеспечению безопасности Персональных данных;
• в случае выявления существенных нарушений по результатам внутренних проверок системы защиты Персональных данных;
• при изменении процессов и технологий обработки Персональных данных в ООО «ДубльГИС».

1.4.3. При внесении изменений указывается дата последнего обновления редакции. Новая редакция вводится в действие приказом Генерального директора ООО «ДубльГИС».
1.4.4. Обеспечение неограниченного доступа к Политике реализуется путем ее публикации на сайте ООО «ДубльГИС» в сети Интернет.
1.4.5. Термины, использованные в настоящей Политики с заглавной буквы, имеют значения, указанные в разделе 2 настоящей Политики, если в настоящей Политики не определено иное.

2. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ
2.1. Аффилированное лицо — (а) в отношении лица, не являющегося физическим лицом, — любое другое лицо, прямо или косвенно Контролирующее, Контролируемое или находящееся под общим Контролем с ООО «ДубльГИС»; (b) в отношении физического лица — близкий родственник такого лица, управляющий трастом (трасти), бенефициаром которого является такое лицо или близкий родственник такого лица, и любое лицо, не являющееся физическим лицом, которое такое лицо или близкий родственник такого лица прямо или косвенно Контролирует, или которое находится под их общим Контролем. Для целей настоящего определения под Контролем понимается возможность по отношению к лицу или право другого лица (физического лица или юридического лица) прямо либо косвенно (через лицо или несколько лиц), самостоятельно или совместно с Аффилированными лицами, на основании корпоративного договора, договора доверительного управления имуществом, или в результате других сделок либо по иным основаниям: распоряжаться более чем 50% (пятьюдесятью процентами) общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный (складочный) капитал Контролируемого лица; и (или) назначать или прекращать полномочия единоличного исполнительного органа и (или) более чем 50% (пятидесяти процентов) состава коллегиального исполнительного органа Контролируемого лица и (или) избирать более чем 50% (пятьдесят процентов) состава совета директоров (наблюдательного совета) или иного коллегиального органа Контролируемого лица; и (или) определять решения или действия такого лица по всем или существенной части вопросов (фактически или юридически). Термины «Контролируемый», «Контролирует» и «Контролирующий» следует толковать соответствующим образом.
2.2. Блокирование персональных данных — временное прекращение обработки Персональных данных (за исключением случаев, если обработка необходима для уточнения Персональных данных).
2.3. Иные данные — данные, не являющиеся Персональными данными и необходимые для функционирования Сервисов 2ГИС.
2.4. Информационная система Персональных данных или ИСПДн — совокупность содержащихся в базах данных Персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.5. Контрагент — юридическое лицо, индивидуальный предприниматель, физическое лицо, заключившее или собирающееся заключить с Оператором какой-либо договор (соглашение) в своем интересе или от имени и в интересах представляемого им юридического лица / индивидуального предпринимателя / физического лица в соответствии с требованиями действующего законодательства.
2.6. Обезличивание Персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность Персональных данных конкретному Субъекту Персональных данных.
2.7. Обработка Персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с Персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Персональных данных.
2.8. Оператор или ООО «ДубльГИС» или Администрация — Общество с ограниченной ответственностью «ДубльГИС», самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку Персональных данных, а также определяющее цели обработки Персональных данных, состав Персональных данных, подлежащих обработке, действия (операции), совершаемые с Персональными данными.
2.9. Партнер — юридическое лицо, с которым у ООО «ДубльГИС» заключены договоры в рамках реализации модели продажи мест для размещения рекламы на площадках 2ГИС (в Сервисе 2ГИС) на разных территориях в отсутствии собственных бизнес-единиц на этих территориях.
2.10. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту Персональных данных), в том числе фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, должность, профессия, доходы, изображение, номер телефона и/или адрес электронной почты Субъекта Персональных данных, данные, автоматически передаваемые Оператору с помощью установленного на устройстве Субъекта Персональных данных программного обеспечения (при условии, что на основании этих данных можно идентифицировать Субъекта), в том числе IP-адрес, полученные Оператором в результате договорных или иных гражданско-правовых отношений с третьими лицами, а также при осуществлении Оператором хозяйственной деятельности (в том числе, Персональные данные Работника и/или Контрагента).
2.11. Пользователь — дееспособное физическое лицо, использующее или намеревающееся использовать Сервисы 2ГИС в своем интересе или от имени и в интересах представляемых им юридических лиц и/или индивидуальных предпринимателей, информация о которых размещена в Справочнике организаций 2ГИС.
2.12. Работник — физическое лицо, находящееся в трудовых отношениях с Оператором.
2.13. Распространение Персональных данных — действия, направленные на раскрытие Персональных данных неопределенному кругу лиц;
2.14. Сервисы 2ГИС — совокупность программных продуктов 2ГИС, объединяющих в своем составе Цифровые планы и/или Справочники организаций, а также каждая входящая в их состав или используемая совместно с ними программа для ЭВМ или база данных в отдельности, и аппаратных средств, доступ к которым предоставляется пользователям с использованием сайта; программы для ЭВМ, объединяющие в своем составе справочную информацию об ассортименте, ценах, скидках, акциях и иной информации производителей и/или продавцов товаров/ работ/ услуг. К примеру, сайты в доменах flamp.ru, 2gis.ru, 2gis. kz, 2gis. kg, 2gis. uz, 2gis. az, 2gis.com, мобильное приложение 2ГИС;
2.15. Соискатели — кандидаты на замещение вакантных должностей.
2.16. Справочник организаций — база данных электронного справочника, включающая информацию о наименованиях, местонахождении, телефонах, адресах электронной почты и сайтов, видах производимых и реализуемых товаров (выполняемых работ, оказываемых услуг) и прочие сведения об организациях и индивидуальных предпринимателях, находящихся в пределах определенной территории, совпадающей с границами совмещенного с ним Цифрового плана, а также иных организациях по усмотрению ООО «ДубльГИС».
2.17. Субъект Персональных данных (Субъект) — физическое лицо, обладающее Персональными данными прямо или косвенно его определяющими.
2.18. Уничтожение Персональных данных — действия, в результате которых становится невозможным восстановить содержание Персональных данных в информационной системе Персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.19. Цифровой план — база данных электронной карты, включающая геоинформационные данные о географических объектах и населенных пунктах в пределах территории, ограниченной определенными географическими координатами.
3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. При организации обработки Персональных данных Субъектов Персональных данных ООО «ДубльГИС» руководствуется следующими принципами:

• законности целей и способов обработки Персональных данных;
• добросовестности и справедливости;
• обработки только Персональных данных, которые отвечают целям их обработки;
• обеспечения точности Персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки Персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных, или неточных данных;
• соответствия целей обработки Персональных данных целям, заранее определенным и заявленным при сборе Персональных данных, а также полномочиям Оператора;
• соответствия содержания и объема обрабатываемых Персональных данных, способов обработки Персональных данных заявленным целям обработки. Обрабатываемые Персональные данные не являются избыточными по отношению к заявленным целям обработки;
• достоверности Персональных данных, их достаточности для целей обработки, недопустимости обработки Персональных данных, избыточных по отношению к целям, заявленным при сборе Персональных данных;
• недопустимости объединения баз данных, содержащих Персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• хранения Персональных данных в форме, позволяющей определить Субъекта Персональных данных, не дольше, чем этого требуют цели их обработки. Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЛЯ КАЖДОЙ КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Для каждой категории Субъектов Персональных данных определены цели обработки Персональных данных и их состав.
4.2. ООО «ДубльГИС» обрабатывает Персональных данные Работников, указанные в п. 4.3 настоящей Политики в целях:

• обеспечения финансово-хозяйственной деятельности;
• ведения кадрового учёта, кадрового делопроизводства;
• ведения бухгалтерского и налогового учётов;
• содействия Работникам и бывшим Работникам в трудоустройстве, обучение и продвижение по службе, предоставление различных видов льгот;
• выполнения требований трудового законодательства;
• исполнения заключенных трудовых договоров с Работниками;
• исполнения налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, единого социального налога, пенсионного законодательства при формировании и предоставлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование;
• перечисления заработной платы, учёт размера заработной платы и рабочего времени;
• оформления добровольного медицинского страхования Работников;
• хранения учетных данных с целью их идентификации, аутентификации, разграничения прав доступа к информационным ресурсам ООО «ДубльГИС»;
• обеспечения оперативной коммуникации;
• организации пропускного режима на территорию ООО «ДубльГИС»;
• организации совместной работы, управление продажами, задачами и проектами;
• автоматизация постановки задач Работникам и оказание технической поддержки;
• организации хранения информации, знаний, документов и кода;
• передачи данных о Работниках в Фонд социального страхования Российской Федерации с целью выплаты пособий по нетрудоспособности, по уходу за детьми и прочих пособий;
• передачи данных о Работниках в Пенсионный фонд Российской Федерации с целью регулирования трудовых отношений и иных непосредственно связанных с ними отношений с Работниками;
• предоставления информации налоговым и судебным органам в связи с подтверждением правильности примененного налогообложения;
• возможного предложения вакантных должностей Работникам, в том числе после прекращения трудовых отношений (включение в кадровый резерв);
• размещения данных о Работнике в программных продуктах 2ГИС, на сайтах в сети Интернет, включая онлайн-сервисы 2ГИС, в социальных сетях, в составе публикаций о проводимых мероприятиях, новостей программных продуктов 2ГИС и/или онлайн-сервисов 2ГИС и прочих новостных и информационных публикаций;
• администрирование информационных систем Персональных данных;
• изготовление подарочной/сувенирной продукции для Работников ООО «ДубльГИС».

4.3. Оператор обрабатывает следующие Персональные данные Работников:

• фамилия, имя, отчество;
• дата рождения;
• место рождения;
• гражданство;
• серия, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• адрес регистрации (по месту пребывания, месту жительства)/адрес фактического проживания, абонентские номера и иные контакты;
• отношение к воинской обязанности и сведения, отраженные в документах воинского учета;
• домашний/мобильный телефон;
• рабочий номер телефона;
• адрес корпоративной электронной почты;
• семейное положение (наличие брачных отношений, детей);
• сведения о составе семьи и наличии иждивенцев;
• сведения о годности по состоянию здоровья выполнять трудовую функцию;
• индивидуальный номер налогоплательщика;
• страховой номер индивидуального лицевого счета Пенсионного фонда Российской Федерации;
• номер страхового медицинского полиса обязательного медицинского страхования;
• сведения о квалификации (уровне знаний, умений, профессиональных навыков и опыта работы), в том числе, сведения о местах работы, ее продолжительности (стаже) и характере исполняемых обязанностей, заработной плате и занимаемых должностях; и сведения об образовании, в том числе об общем и профессиональном образовании, профессиональном обучении, дополнительном образовании, копии документов об образовании;
• сведения о заработной плате Работника;
• номер банковского счета / счета банковской карты;
• сведения о социальных льготах;
• сведения о повышении квалификации и переподготовке Работников, их аттестации, служебных расследованиях;
• Персональные данные, размещаемые Работником самостоятельно на портале https://planeta.2gis.ru/, включая адреса личных страниц в социальных сетях, имя (никнейм) в программных продуктах, используемых Работником для связи;
• сведения о наградах и иных формах поощрения;
• адрес электронной почты;
• фотографические изображения;
• рекомендации, характеристики;
• размер одежды и обуви;
• город местонахождения работника;
• страна местонахождения работника;
• хобби, увлечения работника.
• иные Персональные данные, предоставляемые Работником.

4.4. В целях обеспечения оперативной коммуникации между Работниками и работниками Партнеров и Аффилированных лиц ООО «ДубльГИС», администрирования информационных систем Персональных данных осуществляет обработку следующих Персональных данных работников Партнеров и Аффилированных лиц:

• фамилия, имя, отчество;
• дата рождения;
• рабочий номер телефона;
• мобильный номер телефона;
• адрес корпоративной электронной почты;
• Персональные данные, размещаемые работниками Партнеров и Аффилированных лиц самостоятельно на портале planeta.2gis.ru/, включая адреса личных страниц в социальных сетях, имя (никнейм) в программных продуктах, используемых работником для связи, адрес личной электронной почты;
• ссылка на профиль на сайте planeta.2gis.ru;
• офис (идентификация места работы);
• занимаемая должность, компания (компания работодателя / представляемого лица);
• фотографические изображения.

4.5. В целях администрирования информационных систем Персональных данных, хранения учетных данных с целью идентификации, аутентификации, разграничения прав доступа к информационным ресурсам Оператора, обеспечения функционирования учетной записи работника в информационных системах, сервисах, программных продуктах 2ГИС и программных средствах, оказания технической поддержки работнику при работе в программных продуктах 2ГИС и программных средствах Оператор обрабатывает следующие персональные данные работников Партнеров и Аффилированных лиц:

• фамилия, имя, отчество;
• рабочий номер телефона;
• мобильный номер телефона;
• адрес корпоративной электронной почты;
• офис (идентификация места работы);
• занимаемая должность, компания (компания работодателя / представляемого лица);
• фотографические изображения.

4.6. В случае обработки Персональных данных работников Партнеров или Аффилированных лиц, Партнеры или Аффилированные лица получают согласия своих работников на передачу их Персональных данных ООО «ДубльГИС» и несут ответственность за соответствие такой передачи применимому законодательству.
4.7. В целях учёта налоговых льгот при начислении заработной платы, предоставления социальных льгот, гарантий и компенсаций Работникам и членам их семей, а также с целью оперативной связи с родственниками работника при возникновении угрозы жизни и здоровью Работника ООО «ДубльГИС» обрабатывается следующие Персональные данные родственников Работников:

• фамилия, имя, отчество;
• степень родства;
• дата рождения;
• номер домашнего/мобильного телефона номер домашнего/мобильного телефона;

4.8. Персональные данные родственников предоставляются Оператору Работником. Работник гарантирует ООО «ДубльГИС» получение согласия родственников на предоставление их персональных данных.
4.9. ООО «ДубльГИС» обрабатывает Персональных данные Контрагентов, если они являются Субъектами, их представителей и/или работников, указанные в п. 4.10 настоящей Политики в целях:

• формирования и исполнения договоров гражданско-правового характера;
• отслеживания взаиморасчетов с Контрагентами;
• учета данных для подписания актов выполненных работ с Контрагентами;
• взаимодействия с Контрагентами, представителями/работниками Контрагентов после истечения сроков действия гражданско-правовых договоров для осуществления информационных и рекламных рассылок (по номеру телефона, включая мессенджеры и по электронной почте);
• информирования Контрагентов, представителей/работников Контрагентов о новинках программных продуктов и Сервисах 2ГИС, услуг ООО «ДубльГИС»;
• администрирования информационных систем Персональных данных.

4.10. ООО «ДубльГИС» обрабатывает следующие Персональные данные Контрагентов, если они являются Субъектами, работников и/или представителей Контрагентов:

• фамилия, имя, отчество;
• дата рождения;
• пол;
• серия, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• адрес электронной почты;
• номер телефона;
• компания (компания работодателя / представляемого лица);
• должность;
• офис (идентификация места работы);
• иные Персональные данные, предоставляемые Контрагентом.

4.11. Контрагент передает указанные в п. 4.10 настоящей Политики Персональные данные ООО «ДубльГИС». В случае передачи Персональных данных своих работников / представителей Контрагент получает их согласие на передачу их Персональных данных ООО «ДубльГИС» и несет ответственность за соответствие такой передачи применимому законодательству.
4.12. В целях учета Соискателей на замещение вакантных должностей, сопоставления Соискателей вакантным должностям (рассмотрение откликов на вакансии и резюме, проведение собеседований), включения в кадровый резерв и возможного предложения вакантных должностей, которые будут открыты в будущем, в том числе в случае отказа в принятии на работу, администрирования информационных систем Персональных данных, ведения кадрового резерва, проведения аналитики рынка вакансий, идентификация кандидата для подтверждения достоверности предоставленных кандидатом сведений ООО «ДубльГИС» обрабатывает следующие Персональные данные Соискателей:

• фамилия, имя, отчество;
• серия, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• адрес регистрации (по месту пребывания, месту жительства)/адрес фактического проживания, абонентские номера и иные контакты;
• дата и место рождения;
• семейное положение (наличие брачных отношений, детей);
• сведения о квалификации (уровне знаний, умений, профессиональных навыков и опыта работы), в том числе сведения о местах работы, ее продолжительности (стаже) и характере исполняемых обязанностей, заработной плате и занимаемых должностях; сведения об образовании, в том числе об общем и профессиональном образовании, профессиональном обучении, дополнительном образовании;
• сведения о наградах и иных формах поощрения;
• фотографические изображения;
• адрес электронной почты;
• домашний/мобильный номер телефона;
• индивидуальный номер налогоплательщика;
• иные Персональные данные, предоставленные в резюме (адреса личных страниц в социальных сетях, ссылки на аккаунты в профессиональных сообществах, имя (никнейм) в программных продуктах, используемых Соискателем для связи, и др.);
• иные Персональные данные Соискателей, предоставляемые ими.

4.13. В целях содействия Соискателям в трудоустройстве, рассмотрения откликов на вакансии и резюме, проведения собеседований, отбора Соискателей на замещение вакантных должностей, включения в кадровый резерв, ООО «ДубльГИС» обрабатывает следующие Персональные данные Соискателей, предоставленные через сайт job.2gis.ru, а также иные сайты, где реализована форма сбора персональных данных для соискателей, в отношении вакансий, открытых в ООО «ДубльГИС», у Партнеров, Аффилированных лиц ООО «ДубльГИС» обрабатывает следующие Персональные данные Соискателей:

• фамилия, имя, отчество;
• адрес регистрации (по месту пребывания, месту жительства)/адрес фактического проживания, абонентские номера и иные контакты;
• дата и место рождения;
• сведения о квалификации (уровне знаний, умений, профессиональных навыков и опыта работы);
• сведения о местах работы, ее продолжительности (стаже) и характере исполняемых обязанностей, и занимаемых должностях;
• сведения об образовании, в том числе об общем и профессиональном образовании, профессиональном обучении, дополнительном образовании;
• фотографические изображения;
• адрес электронной почты;
• домашний/мобильный номер телефона;
• иные Персональные данные, которые Соискатель включает в форму-отклик, в резюме или предоставляет по запросу.

4.14. ООО «ДубльГИС» обрабатывает Персональных данные Пользователей, указанные в п. 4.15. настоящей Политики в целях:

• идентификации стороны в рамках договоров между Пользователем и Администрацией, включая в целях аутентификации Пользователя при регистрации в Сервисах 2ГИС путем совершения звонка на номер телефона Пользователя для сообщения проверочного кода;
• предоставления Пользователям услуг с использованием Сервисов 2ГИС;
• совершенствования Сервисов 2ГИС;
• разработки новых сервисов и услуг 2ГИС на основе обратной связи/информации от Пользователей;
• реагирования на запросы Пользователей в службу поддержки,
• информирования Пользователей о возможностях Сервисов 2ГИС,
• направления запросов, касающихся использования Сервисов 2ГИС;
• выполнения маркетинговых задач;
• выполнения статистических и иных исследований;
• реализации отношений по предоставлению Администрацией данных из cookies третьим лицам для осуществления ими деятельности по демонстрации Пользователям таргетированных рекламных и информационных материалов в сети Интернет или для оказания третьими лицами иных услуг Пользователям в установленном законом порядке;
• выдачи кассовых чеков Пользователям,
• организации услуг доставки товаров;
• формирования профиля Пользователя; в целях коммуникации с Пользователем для налаживания партнерских отношений, ведения переговоров по согласованию условий договоров с Пользователем, заключения и исполнения таких договоров;
• добавления и/или актуализации информации в Сервисе 2ГИС, устранения неточностей в Сервисе 2ГИС, включая коммуникации с Пользователем в указанных целях;
• совершения действий по поиску и привлечению Пользователей,
• проведения очной идентификации Пользователей;
• рекламных и информационных рассылок, включая электронные сообщения, push-сообщения;
• обработки Персональных данных по поручению третьих лиц (операторов Персональных данных).

4.15. ООО «ДубльГИС» обрабатывает следующие Персональные данные Пользователей:

• фамилия, имя, отчество;
• серия, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• адрес регистрации;
• адрес доставки товара;
• платежные данные;
• адрес электронной почты;
• домашний/мобильный номер телефона;
• дата рождения;
• пол;
• изображение пользователя (аватар);
• название компании работником/представителем которой является Пользователь;
• должность;
• иные Персональные данные, предоставляемые Пользователем.

4.16. ООО «ДубльГИС» обрабатывает следующие Иные данные Пользователей необходимые для функционирования Сервсив 2ГИС, автоматически передаваемые Сервисам 2ГИС в процессе их использования с помощью установленного на устройстве Пользователя программного обеспечения, в т. ч.:

• IP-адрес; геопозиция Пользователя (мобильное приложение); рекламные идентификаторы (GAID, IDFA (не обрабатывается с версии 5.39 2GIS), OAID и иные, соотносящиеся с операционной системой Пользователя); данные из cookies, информация о браузере, операционной системе, времени доступа, поисковых запросах, сведения о местоположении и перемещении устройства Пользователя (чтобы адаптировать Сервисы 2ГИС к текущему местоположению Пользователя), данные об устройстве Пользователя (производитель устройства, модель устройства, размер внутренней памяти устройства, версия операционной системы устройства, платформа (мобильное приложение, веб, планшет и прочее), размер экрана, версия приложения, название оператора сотовой связи, тип связи); язык операционной системы/приложения пользователя; цифровой идентификатор, формируемый в рамках использования Сервиса Сбер ID; хэшированный номер мобильного телефона пользователя, хэшированный номер адрес электронной почты Пользователя.:

4.17. Если на основании Иных данных Оператор может идентифицировать Пользователя, они относятся к Персональным данным, и подлежат обработке как Персональные данные.
4.18. В целях обеспечения функционирования программных продуктов, реализации отдельных функциональных возможностей и реагирования на запросы в службу поддержки Оператор может осуществлять передачу, в том числе трансграничную передачу, Персональных данных Пользователей Аффилированным лицам. Передача Персональных данных Пользователей осуществляется в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
4.19. Администрация не обрабатывает Персональные данные Пользователей, не прошедших регистрацию, авторизацию и/или не разместивших Персональные данные в процессе использования Сервисов 2ГИС, в формах обратной связи Сервисов 2ГИС и/или не предоставивших Персональные данные Администрации самостоятельно посредством оформления заявки в карточке компании на оформление доставки.
4.20. В целях исполнения требований Федерального закона от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью», а также иных смежных требований законодательства Российской Федерации, в том числе проведения общих собраний участников, формирования Совета директоров, проведения заседаний Совета директоров, функционирования Совета директоров, формирования списка Аффилированных лиц, списка участников ООО «ДубльГИС», администрирования информационных систем Персональных данных, ООО «ДубльГИС» обрабатываются следующие Персональные данные органов управления ООО «ДубльГИС»:

• фамилия, имя, отчество;
• адрес электронной почты.

5. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1.В целях обеспечения прав и свобод человека и гражданина при обработке Персональных данных Оператором соблюдаются следующие требования:

• обработка Персональных данных может осуществляться исключительно для обеспечения соблюдения целей, указанных в разделе 4 настоящей Политики;
• Субъекты Персональных данных или их законные представители имеют право ознакомиться с документами Оператора, устанавливающими порядок обработки Персональных данных Субъектов, а также их права и обязанности в этой области;
• Субъекты Персональных данных не должны отказываться от своих прав на сохранение и защиту Персональных данных.

5.2.Субъект самостоятельно принимает решение о предоставлении своих Персональных данных и дает согласие на их обработку Оператором.
5.3.В случае недееспособности Субъекта Персональных данных все Персональные данные Субъекта следует получать от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении Персональных данных своего подопечного и дает согласие на их обработку Оператором.
5.4. Согласие на обработку Персональных данных может быть отозвано Субъектом Персональных данных на основании его письменного запроса или в форме электронного документа, подписанного электронной подписью в соответствии с законодательством РФ, а также иными способами, предусмотренными законодательством РФ. В случае, указанном в пункте 5.3. настоящей Политики, согласие может быть отозвано законным представителем Субъекта Персональных данных.
5.5. В случаях, когда Оператор может получить необходимые Персональные данные Субъекта только у третьей стороны, Субъект должен быть уведомлен об этом заранее и от него должно быть получено согласие. В уведомлении Оператор обязан сообщить о целях, способах и источниках получения Персональных данных, а также о характере и перечне подлежащих получению Персональных данных и возможных последствиях отказа Субъекта дать согласие на их получение.
5.6.Если персональные данные получены не от Субъекта персональных данных, Оператор, за исключением случаев, предусмотренных п. 5.7., до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

• наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
• цель обработки персональных данных и ее правовое основание;
• перечень персональных данных;
• предполагаемые пользователи персональных данных;
• права субъекта персональных данных;
• источник получения персональных данных.

5.7.Оператор освобождается от обязанности предоставить Субъекту Персональных данных сведения, указанные в п. 5.6. в случаях, если:

• Субъект Персональных данных уведомлен об осуществлении обработки его Персональных данных Оператором;
• Персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого, либо выгодоприобретателем, или поручителем, по которому является Субъект Персональных данных;
• Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006 года;
• Оператор осуществляет обработку Персональных данных для статистических или иных исследовательских целей на основе обезличенных данных, если при этом не нарушаются права и законные интересы Субъекта Персональных данных;
• предоставление Субъекту Персональных данных указанных выше сведений нарушает права и законные интересы третьих лиц.

5.8.Оператор не имеет права получать и обрабатывать Персональные данные Субъекта, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, его биометрические данные, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», а также Персональные данные Работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым Кодексом Р Ф или иными федеральными законами. Запрещается запрашивать информацию о состоянии здоровья Работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения Работником трудовой функции.
5.9.При принятии решений, затрагивающих интересы Работника, Оператор не имеет права основываться на Персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных средств доставки.
5.10. Полученные ООО «ДубльГИС» Персональные данные хранятся на следующих видах носителей:

• Бумажные носители (в том числе личные дела, трудовые договоры, трудовые книжки Работников);
• Электронные носители (в том числе корпоративные автоматизированные информационные системы).

5.11. Обработка Персональных данных Субъектов осуществляется смешанным путем:

• неавтоматизированным способом обработки Персональных данных;
• автоматизированным способом обработки Персональных данных (с помощью ПЭВМ и специальных программных продуктов).

5.12. Обработка Персональных данных осуществляется с соблюдением порядка, предусмотренного Федеральным законом от 27.07.2006 № 152 «О персональных данных», Постановлением Правительства от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и Постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
5.13. Документы, содержащие Персональные данные, являются конфиденциальными.
6. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1.Хранение Персональных данных может осуществляться следующими способами:

• в электронном виде:

— в информационных системах / базах данных ООО «ДубльГИС»;
— на Служебных средствах вычислительной техники;
— на внешних машинных (электронных) носителях информации.

• на бумажном носителе:

— в помещениях структурных подразделений, осуществляющих хранение материальных носителей Персональных данных, в специально установленных для этого местах;
— в архиве в соответствии с законодательством РФ об архивном деле.
6.2.Оператор хранит Персональные данные в течение следующих сроков:

• Персональные данные Работников, хранятся в течение срока действия трудовых договоров с Работниками и 6 лет, следующих за датой прекращения трудовых отношений;
• Персональные данные родственников Работников хранятся до достижения целей обработки Персональных данных;
• Персональные данные Соискателей хранятся в течение 10 лет;
• Персональные данные работников Партнеров и Аффилированных лиц хранятся в течение срока действия трудового договора с Партнером или Аффилированным лицом;
• Персональные данные Аффилированных лиц (когда Аффилированное лицо является Субъектом Персональных данных), хранятся до достижения целей обработки Персональных данных;
• Персональные данные Контрагентов, работников и/или представителей Контрагентов ООО «ДубльГИС» хранятся в пределах срока действия соответствующего договора и в течение 10 лет после прекращения его действия, если меньший срок не будет согласован сторонами договора отдельно;
• Персональные данные Пользователей хранятся всё время использования аккаунта/Личного кабинета Пользователем и после его удаления в течение срока, определенного в соответствии с Федеральным законом от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также до  достижения целей обработки Персональных данных или до отзыва согласия на  обработку персональных данных пользователем и в  течение срока, определенного в  соответствии с  Законом № 149-ФЗ;
• Персональные данные членов органов управления ООО «ДубльГИС» хранятся в течение 5 лет после выхода члена из состава органа управления.

6.3.Если в соответствии с требованиями применимого законодательства, предусмотрен иной, более длительный срок хранения какой-либо категории Персональных данных, то он подлежит применению. По истечении срока хранения данные будут уничтожены в порядке, определенном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
6.4.Хранение Персональных данных Субъектов осуществляется структурными подразделениями Оператора в соответствии с перечнем Персональных данных (см. раздел 4 настоящего Положения) и перечнем информационных систем Персональных данных, утвержденным у Оператора (см. Приложение 1).
6.5.Персональные данные Субъектов преимущественно хранятся на электронных носителях в электронном виде в персональных компьютерах, подключенных к локальной компьютерной сети Оператора. Доступ к электронным базам данных ограничен паролем.
6.6.Доступ к бумажным и электронным носителям Персональных данных получают только те Работники, которым это необходимо для выполнения их должностных обязанностей.
6.7.ООО «ДубльГИС» обеспечивает необходимые организационные и технические меры для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения Персональных данных, а также от иных неправомерных действий.
6.8.Возможна передача Персональных данных Субъектов по внутренней сети Оператора с использованием технических и программных средств защиты информации, с доступом только для Работников, допущенных к работе с Персональными данными Субъектов и только в объеме, необходимом данным Работникам для выполнения своих должностных обязанностей.
6.9.Подразделения ООО «ДубльГИС», осуществляющие кадровое делопроизводство, ведут личные дела Работников, в которых содержатся Персональные данные Работников и иные сведения, связанные с трудовой деятельностью Работников. Наряду с копиями документов и личными заявлениями к личному делу Работника приобщается анкета, заполненная Работником. Личные дела, трудовые договоры и трудовые книжки Работников хранятся в помещениях кадровых служб в несгораемых шкафах (сейфах). Ответственность за хранение указанных документов возлагается на руководителя кадрового подразделения.
6.10. Персональные данные Работников на бумажных носителях хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам в специально отведенной секции сейфа (или шкафах), обеспечивающего защиту от несанкционированного доступа.
6.11. Доступ к Персональным данным Работников на бумажных носителях осуществляется в порядке, предусмотренном Разделом 7 настоящего Положения.
6.12. Подразделения Оператора, хранящие Персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному Постановлением Правительства Р Ф 15 сентября 2008 г. № 687.
6.13. Хранение Персональных данных должно осуществляться в форме, позволяющей определить Субъекта Персональных данных, не дольше, чем этого требуют цели обработки Персональных данных, если срок хранения Персональных данных не установлен Федеральным законом № 152-ФЗ «О персональных данных» или соответствующим договором. Обрабатываемые Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.
6.14. Хранение документов, содержащих Персональные данные Субъектов, осуществляется в течение установленных действующими нормативными или локальными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению.

7. ВНУТРЕННИЙ ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
7.1.Доступ к Персональным данным Субъектов имеют Работники Оператора, допущенные к работе с Персональными данными Субъектов. Данным категориям сотрудников в их должностные обязанности включается пункт о сохранении конфиденциальности обрабатываемой информации.
7.2.При предоставлении доступа к Персональным данным Оператор должен соблюдать следующие требования:

• разрешать доступ к Персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те Персональные данные, которые необходимы для выполнения конкретных функций;
• не запрашивать информацию о состоянии здоровья Работника ООО «ДубльГИС», за исключением тех сведений, которые относятся к вопросу о возможности выполнения Работником трудовой функции.

7.3.Доступ к Персональным данным предоставляется Работнику ООО «ДубльГИС» в соответствии с приказом о назначении должностных лиц, которым необходим доступ к Персональным данным в целях выполнения их функциональных обязанностей, утвержденным генеральным директором ООО «ДубльГИС». В приложении к указанному приказу определен перечень должностей, непосредственно использующих Персональные данные в служебных целях, которые имеют право обрабатывать только те Персональные данные, которые необходимы им для выполнения конкретных функций в соответствии с должностной инструкцией указанных лиц.
7.4.Руководители структурных подразделений Оператора имеют доступ к Персональным данным Работников соответствующих структурных подразделений в порядке административной и функциональной подчиненности.
7.5.Остальные Работники ООО «ДубльГИС» получают доступ к Персональным данным других Работников в установленном действующим законодательством и настоящим Положением порядке.
7.6.При осуществлении доступа работника к информационным системам / базам данных ему должен быть предоставлен минимальный набор прав доступа в рамках закрепленной за пользователем роли. В информационных системах реализуется контроль доступа пользователя к Персональным данным.
7.7.Доступ работника к обрабатываемым Персональным данным прекращается в случае отсутствия (минования) производственной необходимости, изменения функциональных и должностных обязанностей, длительного отпуска, увольнения работника. В целях надлежащей организации производственного процесса и обеспечения оптимального взаимодействия между подразделениями и отдельными Работниками все работники ООО «ДубльГИС» имеют доступ к информационной системе «Планета», размещенной на корпоративном сайте planeta.2gis.ru/, содержащим следующую информацию о Работниках:

• фамилия, имя, отчество;
• дата рождения;
• рабочий номер телефона;
• мобильный номер телефона;
• адрес корпоративной электронной почты;
• адрес личной электронной почты;
• адреса личных страниц в социальных сетях;
• имя (никнейм) в программных продуктах, используемых Работником для связи;
• офис (идентификатор места работы);
• занимаемая должность;
• компания (компания работодателя / представляемого лица);
• фотографические изображения.
• город местонахождения работника;
• страна местонахождения работника;
• хобби, увлечения работника.

7.8.Работники ООО «ДубльГИС», получающие Персональные данные, обязаны:

• выполнять требования настоящего Положения по обеспечению защиты Персональных данных;
• пресекать действия других лиц, которые могут привести к разглашению Персональных данных;
• использовать Персональные данные только в целях выполнения функциональных обязанностей;
• использовать в своей работе лишь те Персональные данные, которые действительно необходимы для полноценного выполнения функциональных обязанностей;
• при составлении документов, включающих Персональные данные, ограничиваться минимальными, действительно необходимыми, сведениями и количеством экземпляров;
• документы, содержащие Персональные данные, во время работы располагать так, чтобы исключить возможность ознакомления с ними других лиц, в том числе допущенных к подобным сведениям, но не имеющих к ним прямого отношения;
• об утрате или недостаче документов, содержащих Персональные данные, немедленно сообщать своему непосредственному руководителю;
• отказывать в предоставлении Персональных данных третьим лицам без письменного разрешения ООО «ДубльГИС» или уполномоченного им лица;
• в случае увольнения сдать непосредственному руководителю все служебные документы, содержащие Персональные данные (бумажные, электронные носители), которые находились в его распоряжении в связи с выполнением функциональных обязанностей во время работы в ООО «ДубльГИС».

7.9.Субъект Персональных данных, данные о котором обрабатываются в ООО «ДубльГИС», имеет право на свободный доступ к своим Персональным данным, получение копий своих Персональных данных (за исключением случаев, предусмотренных федеральным законом) на основании его письменного запроса.
7.10. ООО «ДубльГИС» обязано в порядке, предусмотренном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», сообщить Субъекту Персональных данных или его законному представителю информацию о наличии Персональных данных, относящихся к соответствующему Субъекту Персональных данных, а также предоставить возможность ознакомления с ними при обращении Субъекта Персональных данных или его законного представителя или в течение десяти рабочих дней с даты получения запроса Субъекта Персональных данных или его законного представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

8. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1.При передаче Персональных данных Субъекта Оператор обязан соблюдать следующие требования:

• не сообщать Персональные данные Субъекта третьей стороне без надлежащего согласия Субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, а также в случаях, предусмотренных действующим законодательством;
• не сообщать Персональные данные Субъекта в коммерческих целях без его надлежащего согласия;
• передавать Персональные данные Субъекта представителям Субъекта в порядке, установленном действующим законодательством, и ограничивать эту информацию только теми Персональными данными Субъекта, которые необходимы для выполнения указанными представителями их функций;
• предупредить лиц, получающих Персональные данные Субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

8.2.Лица, получающие Персональные данные Субъекта, обязаны соблюдать требования конфиденциальности.
8.3.Все сведения о передаче Персональных данных Субъекта регистрируются в Журналах учета обращений и запросов Субъекта Персональных данных, уполномоченного органа по защите прав субъектов Персональных данных, а также третьих лиц, участников правоотношений целях контроля правомерности использования данной информации лицами, ее получившими. В Журналах фиксируются сведения о лице, направившем запрос, дата передачи Персональных данных или дата уведомления об отказе в их предоставлении, а также указываются Персональные данные, которые были переданы.
8.4.Передача Персональных данных Субъектов третьим лицам осуществляется Оператором только с их надлежащего согласия, за исключением случаев, если:

• передача необходима для защиты жизни и здоровья Субъекта, либо других лиц и получение его согласия невозможно;
• по запросу органов дознания, следствия и суда в связи с проведением расследования или судебным разбирательством;
• передача Персональных данных осуществляется в рамках исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект Персональных данных, кроме случаев, требующих наличие согласия Субъекта Персональных данных;
• в иных случаях, прямо предусмотренных федеральными законами.

8.5. В случае оформления письменного согласия Субъекта на передачу его Персональных данных третьим лицам, согласие должно включать в себя:

• фамилию, имя, отчество, адрес Субъекта, серию, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование и адрес оператора, получающего согласие субъекта персональных данных
• цель обработки Персональных данных Субъекта третьей стороной;
• перечень Персональных данных, на передачу которых дается согласие Субъекта;
• перечень действий третьей стороны с Персональными данными, на совершение которых дается согласие, общее описание используемых третьей стороной способов обработки Персональных данных;
• срок, в течение которого действует согласие, а также порядок его отзыва.

8.6. В случае смерти Субъекта согласие на обработку его Персональных данных дают в письменной форме наследники Субъекта, если такое согласие не было дано Работником при его жизни.
8.7. Согласия Работника на распространение его Персональных данных не требуется, в случае обезличивания Персональных данных.
8.8. Информация, относящаяся к Персональным данным Работника, может быть предоставлена государственным органам и органам местного самоуправления в пределах их полномочий, установленных федеральными законами. Основанием для передачи Персональных данных Работника является мотивированный требованиями законодательства или решением суда письменный запрос от должностного лица соответствующего государственного органа или органа местного самоуправления, подписанный руководителем данного органа, заверенный гербовой печатью.
8.9. Родственники и члены семьи Работника доступ к его Персональным данным не имеют.
8.10. В случае если лицо, обратившееся с запросом о предоставлении Персональных данных, не уполномочено федеральным законом, настоящей Политикой, другими локальными нормативными актами ООО «ДубльГИС» на получение Персональных данных Субъекта, либо отсутствует надлежащее согласие Субъекта на предоставление его Персональных данных, Оператор обязан отказать в предоставлении Персональных данных Субъекта указанному лицу.
8.11. Все меры конфиденциальности при сборе, обработке и хранении Персональных данных Субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
8.12. В случае если ООО «ДубльГИС» пользуется услугами третьих лиц на основании заключенных договоров (либо иных оснований), и в силу данных договоров они должны иметь доступ к Персональным данным, обрабатываемым ООО «ДубльГИС», то соответствующие Персональные данные предоставляются ООО «ДубльГИС» только после подписания с данными лицами соглашения о неразглашении Персональных данных или включения в договоры пунктов о неразглашении Персональных данных, в том числе предусматривающих защиту Персональных данных, и иных пунктов, предусмотренных Положением о договорной работе ООО «ДубльГИС».
8.13. Все типовые формы договоров ООО «ДубльГИС» должны содержать положения про обработку персональных данных для того, чтобы исключить риск незаконной обработки персональных данных со стороны контрагента.
8.14. В случае заключения расходного/доходного договора с условием об использовании персональных данных контактных лиц за пределами срока действия договора, условие об этом необходимо включить в договор.
8.15. В случае поручения ООО «ДубльГИС» обработчику обработки персональных данных, необходимо включить положение об этом в договор.
8.16. Лицо, осуществляющее обработку персональных данных по поручению ООО «ДубльГИС» должно соответствовать требованиям, предусмотренным Федеральным закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
8.17. В поручении должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных по поручению ООО «ДубльГИС», цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федеральным закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», обязанность по запросу ООО «ДубльГИС» в течение срока действия поручения, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения ООО «ДубльГИС» требований, настоящего пункта, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных», в том числе требование об уведомлении ООО «ДубльГИС» о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона «О персональных данных».
8.18. В случае передачи персональных данных, необходимо включить положение об этом в договор.
8.19.Трансграничная передача Персональных данных. До начала трансграничной передачи Персональных данных ООО «ДубльГИС» определяет:

• цели трансграничной передачи Персональных данных;
• правовые основания трансграничной передачи Персональных данных;
• категории субъектов Персональных данных;
• состав передаваемых Персональных данных;
• перечень иностранных государств, под юрисдикцией которых находятся иностранные получатели Персональных данных (органы государственной власти, юридические или физические лица).

8.20. ООО «ДубльГИС» уведомляет Роскомнадзор об осуществлении трансграничной передачи Персональных данных.
8.21. ООО «ДубльГИС» до подачи уведомления, предусмотренного п. 8.20 обязано получить от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных, следующие сведения:

1. сведения о принимаемых мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;
2. информацию о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находятся органы власти иностранного государства, иностранные физические лица, иностранные юридические лица, которым планируется трансграничная передача персональных данных (в случае, если предполагается осуществление трансграничной передачи персональных данных органам власти иностранного государства, иностранным физическим лицам, иностранным юридическим лицам, находящимся под юрисдикцией иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных);
3. сведения об органах власти иностранного государства, иностранных физических лицах, иностранных юридических лицах, которым планируется трансграничная передача персональных данных (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).

8.22. После получения сведений, указанных в п. 8.21. ООО «ДубльГИС» обязано провести оценку соблюдения конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке.
8.23. Передача или поручение обработки Персональных данных иностранному получателю осуществляется с учетом условий и ограничений, установленных Законом № 152-ФЗ, нормативными правовыми актами Правительства Российской Федерации.
9. БЛОКИРОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Блокирование Персональных данных конкретного Субъекта Персональных данных должно осуществляться во всех информационных системах Персональных данных ООО «ДубльГИС», включая архивы баз данных, содержащих такие Персональные данные.
9.2. Блокирование Персональных данных в ООО «ДубльГИС» осуществляется:

• в случае выявления неправомерной обработки Персональных данных при обращении/направлении запроса Субъекта Персональных данных или его представителя либо уполномоченного органа по защите прав Субъектов Персональных данных с момента такого обращения или получения указанного запроса на период проверки;
• в случае отсутствия возможности уничтожения Персональных данных в установленные сроки до их уничтожения.

9.3. После устранения выявленной неправомерной обработки Персональных данных ООО «ДубльГИС» осуществляет снятие блокирования Персональных данных. Решение о блокировании и снятии блокирования Персональных данных принимается лицом, ответственным за организацию обработки Персональных данных в ООО «ДубльГИС».
10. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Персональные данные хранятся в течение срока, определенного в разделе 6 настоящей Политики, и подлежат уничтожению по достижении целей обработки, истечения срока или в случае утраты необходимости в их достижении.
10.2. Документы, содержащие Персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном настоящей Политикой и архивным законодательством Российской Федерации.
10.3. Уничтожение документов, содержащих Персональные данные, производится:

• в случае отзыва согласия Субъекта Персональных данных, если отсутствуют иные законные основания обработки Персональных данных;
• по достижении целей их обработки согласно номенклатуре дел и документов или при утрате необходимости в их достижении;
• Персональные данные больше не требуются для достижения целей, в которых они были получены;
• по достижении окончания срока хранения Персональных данных, оговоренного в соответствующем соглашении заинтересованных сторон;
• истек срок согласия на обработку Персональных данных;
• в случае выявления неправомерной обработки Персональных данных в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки Персональных данных.

10.4. Уничтожение Персональных данных, находящихся на машинных носителях информации, выполняется средствами информационной системы (операционной системы, системы управления базами данных).
10.5. Уничтожение материальных носителей с Персональными данными осуществляется согласно документу «Регламент по организации обращения с защищаемыми носителями персональных данных».
10.6. Компания осуществляет документирование фактов уничтожения Персональных данных в ИСПДн и на материальных носителях, в соответствии с Требованиями к подтверждению уничтожения Персональных данных, утвержденными Приказом Роскомнадзора от 28.10.2022 № 179 (далее — Приказ № 179), Актом Акт об уничтожении персональных данных в базах данных, на материальных (бумажных, электронных) носителях по форме (далее — Акт).
10.7. В случае если Компания подтверждает уничтожение Персональных данных в ИСПДн, то к Акту необходимо приложить также выгрузку из журнала регистрации событий в ИСПДн.
10.8. В случае если выгрузка журнала регистрации событий в ИСПДн не позволяет указать отдельные сведения, предусмотренные Приказом № 179, то допускается указывать такие сведения в Акте.

11. ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
11.1. Методы и способы защиты Персональных данных в информационных системах Оператора должны соответствовать требованиям, установленным:

• Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
• Постановлением Правительства Р Ф от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
• Иным требованиям законодательства о персональных данных.

11.2. При обработке Персональных данных должны приниматься необходимые правовые, организационные и технические меры для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Персональных данных, а также от иных неправомерных действий.
11.3. Обмен Персональными данными при их обработке в информационных системах Персональных данных осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.
11.4. Размещение информационных систем Персональных данных, специальное оборудование и охрана помещений, в которых ведется работа с Персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей Персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
11.5. Для осуществления мероприятий по защите Персональных данных при их обработке в информационных системах Персональных данных системы защиты могут включать в себя следующие подсистемы: управления доступом; регистрации и учета; обеспечения целостности; антивирусной защиты; обеспечения безопасности межсетевого взаимодействия; анализа защищенности; обнаружения вторжений.
11.6. Для обеспечения безопасности Персональных данных при необходимости осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
11.7. В целях обеспечения безопасности Персональных данных при их обработке в информационных системах Персональных данных организуется контроль соблюдения условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией, а также разбирательство и составление заключений по фактам несоблюдения условий доступа к Персональным данным, использования средств защиты информации, которые могут привести к нарушениям конфиденциальности Персональных данных.
11.8. При обнаружении нарушений порядка предоставления Персональных данных незамедлительно приостанавливается предоставление Персональных данных пользователям информационной системы Персональных данных, получивших их с нарушением установленного порядка, до выявления причин нарушений и устранения этих причин.
11.9. Также в ООО «ДубльГИС» применяются следующие меры по обеспечению безопасности персональных данных:

• оценен вред, который может быть причинен Субъекту персональных данных в случае нарушения законодательства РФ в области персональных данных, оценено соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения законодательства РФ в области персональных данных;
• проводится ознакомление работников ООО «ДубльГИС», непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ в области персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику ООО «ДубльГИС» в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
• определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
• проводится оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;
• осуществляется контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
• в случаях и порядке, предусмотренным законодательством о персональных данных обеспечивается взаимодействие с уполномоченным органом по защите прав субъектов персональных данных РФ в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, а также, если применимо, с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных;

11.10. Ответственность за организацию защиты Персональных данных в информационных системах Персональных данных возлагается на подразделения безопасности и информационных технологий.
12. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ОПЕРАТОРА
12.1. В целях обеспечения защиты Персональных данных Субъекты имеют право:

• получать полную информацию о своих Персональных данных и обработке этих данных (в том числе автоматизированной);
• осуществлять свободный бесплатный доступ к своим Персональным данным, включая право получать копии любой записи, содержащей Персональные данные Субъекта, за исключением случаев, предусмотренных законодательством;
• требовать исключения или исправления неверных, или неполных Персональных данных, а также данных, обработанных с нарушением законодательства;
• при отказе Оператора исключить или исправить Персональные данные Субъекта — заявить в письменной форме о своем несогласии, представив соответствующее обоснование;
• дополнить Персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
• требовать от Оператора уведомления всех лиц, которым ранее были сообщены неверные или неполные Персональные данные Субъекта, обо всех произведенных в них изменениях или исключениях из них;
• обжаловать в суде любые неправомерные действия или бездействие Оператора, или уполномоченного им лица при обработке и защите Персональных данных Субъекта;
• реализовать иные права, предусмотренные законодательством о персональных данных.

12.2. Для защиты Персональных данных Субъектов Оператор обязан:

• за свой счет обеспечить защиту Персональных данных Субъекта от неправомерного их использования или утраты в порядке, установленном законодательством РФ;
• по запросу ознакомить Субъекта Персональных данных или его законных представителей с настоящей Политикой и его правами в области защиты Персональных данных, а также предоставить ему полную информацию о его Персональных данных и обработке этих данных;
• осуществлять передачу Персональных данных Субъекта только в соответствии с настоящей Политикой и законодательством Российской Федерации, а также иным применимым законодательством;
• осуществлять иные обязанности, предусмотренные законодательством о персональных данных.

12.3. Защита информации, содержащей Персональные данные, представляет собой принятие Оператором правовых, организационных и технических мер, направленных на:

• обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
• соблюдение конфиденциальности информации ограниченного доступа;
• реализацию права на доступ к информации.

12.4. Система защиты Персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности Персональных данных и информационных технологий, используемых в информационных системах в соответствии с Постановлением Правительства Р Ф от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
12.5. Для обеспечения безопасности Персональных данных Субъектов при неавтоматизированной обработке Оператором предпринимаются следующие меры:
Определяются места хранения Персональных данных Субъектов, которые оснащаются следующими средствами защиты:

• в кабинете соответствующего департамента находятся специально оборудованные шкафы, защищенные от несанкционированного доступа;
• помещения Оператора находятся под круглосуточной охраной сотрудников вневедомственной охраны;
• все действия по обработке Персональных данных Субъектов осуществляются только Работниками Оператора, надлежащим образом допущенными к работе с Персональными данными Субъектов, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.

12.6. Обработка, уточнение, уничтожение или блокирование Персональных данных Субъектов при осуществлении их обработки без использования средств автоматизации осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
12.7. Для обеспечения безопасности Персональных данных Субъектов Оператором при автоматизированной обработке предпринимаются следующие меры:

• Все действия при автоматизированной обработке Персональных данных Субъектов осуществляются только Работниками Оператора, занимающим должности, указанные в списке должностей, утвержденном соответствующим приказом, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.
• Персональные компьютеры, в которых содержатся Персональные данные Субъектов, защищены паролями доступа. Пароли устанавливаются администратором информационной безопасности Оператора и сообщаются индивидуально Работнику, допущенному к работе с Персональными данными и осуществляющему обработку Персональных данных Субъектов на данном персональном компьютере.
• Обработка Персональных данных при автоматизированной обработке Персональных данных осуществляется с соблюдением порядка, предусмотренного Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

12.8. ООО «ДубльГИС» осуществляет регулярный мониторинг изменений законодательства о персональных данных и в случае необходимости осуществляет информирование работников о соответствующих изменениях.
12.9. В случае изменения сведений, направленных ООО «ДубльГИС» в уполномоченный орган по защите прав субъектов персональных данных в уведомлении об обработке персональных данных, ООО «ДубльГИС» не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить уполномоченный орган по защите прав субъектов персональных данных обо всех произошедших за указанный период изменениях.
13. ТРЕБОВАНИЯ К СОГЛАСИЮ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
13.1. Согласие на обработку персональных данных должно отвечать следующим требованиям:

• должно быть конкретным, информированным, сознательным, предметным и однозначным;
• может быть дано Субъектом или его представителем в любой позволяющей подтвердить факт его получения форме, если законодательством РФ не установлена обязанность получать согласие в письменной форме;
• должно быть дано свободно, своей волей и в своем интересе.

13.2. Обработка персональных данных Субъектов в целях продвижения товаров, работ, услуг на рынке путем прямых контактов с Субъектом с помощью средств связи должна осуществляться только при условии предварительного согласия Субъекта. При этом необходимо обеспечить наличие доказательственной базы получения такого согласия. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в целях продвижения товаров, работ, услуг на рынке путем прямых контактов.
13.3. Согласие Субъекта в письменной форме и в форме электронного документа.
13.3.1. Оператор персональных данных, обязан получать согласие Субъекта в письменной форме в следующих случаях:

• включение персональных данных Субъекта в общедоступные источники персональных данных;
• обработка биометрических персональных данных;
• обработка специальных категорий персональных данных;
• трансграничная передача персональных данных на территорию государства, не обеспечивающего адекватную защиту прав Субъектов персональных данных;
• принятие решения на основании исключительно автоматизированной обработки персональных данных, порождающего юридические последствия в отношении Субъекта или иным образом затрагивающего его права и законные интересы;

13.4. Содержание согласие Субъекта в письменной форме должно отвечать требованиям ч. 4 ст. 9 федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных»:
13.5. Согласие Субъекта в письменной форме оформляется на бумажном носителе с собственноручной подписью Субъекта или его представителя. Равнозначным, содержащему собственноручную подпись Субъекта, согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с требованиями федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».
13.6. Согласие Субъекта в любой форме
13.6.1. В случаях, не требующих в соответствии с действующим законодательством оформлять Оператору согласие в письменной форме, может быть получено согласие в любой форме с применением сервисов Оператора, принадлежащих или используемых Оператором, позволяющей подтвердить факт его получения. К таким случаям относятся получение согласий в письменной форме и в форме электронного документа, а также в случаях совершения Субъектом явного действия, например, но не ограничиваясь:

• отправка Оператору после процедуры ознакомления с текстом согласия на обработку персональных данных ответного SMS-сообщения с Кодом подтверждения полученного Субъектом на мобильный номер телефона или посредством голосового подтверждения;
• нажатие Субъектом на кнопку «Подтверждаю», «Согласен», «Принимаю», «Продолжить» и т. п. после процедуры ознакомления с текстом согласия на обработку персональных данных;
• заполнение Чек-бокса рядом с текстом согласия на обработку персональных данных в графическом интерфейсе бизнес-сервиса;
• ответное электронное письмо на электронный почтовый ящик оператора, исходящее от Субъекта с информацией о согласии на обработку персональных данных.

13.7. Обеспечение доказательств наличия правовых оснований на обработку персональных данных.
13.7.1. Оператор осуществляет учет и хранение согласий в течение срока действия согласия, увеличенного на три года (общий срок исковой давности).
13.7.2. В соответствии с требованиями федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных» по запросу уполномоченного органа или Субъекта Оператор обязан предоставить доказательство получения согласия Субъекта на обработку его персональных данных или доказательство наличия иных оснований обработки персональных данных.
13.7.3. Подтверждением факта получения согласия на бумажном носителе является бланк согласия с собственноручной подписью Субъекта или его представителя и указанием даты его подписи.
13.7.4. Хранение Согласий, оформленных на бумажном носителе, в зависимости от вида осуществляется в ответственных подразделениях оператора.
13.7.5. При получении согласия от представителя Субъекта Оператору необходимо осуществлять хранение документов, подтверждающих полномочия представителя, в течение срока, установленного для хранения согласий. Хранение документов, подтверждающих полномочия представителя, осуществляется совместно с согласиями.
13.7.6. Место хранения согласий, а также лица ответственные за организацию хранения, определяется внутренним локальным нормативным документом Оператора.
13.7.7. В целях обеспечения подтверждения получения Оператором согласий в электронном виде, в информационных системах Оператора должны быть реализованы функции учета полученных согласий и хранение подтверждений (с возможностью их выгрузки для последующей печати).
14. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
14.1. Лица, виновные в нарушении требований законодательства о персональных данных, несут ответственность, предусмотренную действующим законодательством Российской Федерации.
Редакция от 29.03.2023 г.

1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1 Назначение документа
1.1.1. С целью поддержания деловой репутации и обеспечения выполнения норм федерального законодательства, согласно требованиям Федерального закона от 27.07.2006 г. № 152-ФЗ «О Персональных данных», ООО «ДубльГИС» определяет важнейшими задачами: обеспечение законности обработки Персональных данных в бизнес-процессах ООО «ДубльГИС» и обеспечение надлежащего уровня безопасности обрабатываемых в ООО «ДубльГИС» Персональных данных.
1.1.2. Настоящая Политика в отношении обработки персональных данных (далее — Политика) разработана в соответствии с п. 2 ч.1 ст. 18.1 Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет основные принципы, цели, условия и способы обработки Персональных данных, права и обязанности ООО «ДубльГИС» при обработке персональных данных, права Субъектов персональных данных, а также реализуемые в ООО «ДубльГИС» меры по обеспечению безопасности Персональных данных при осуществлении установленных в Уставе видов деятельности.
1.1.3. Положения настоящей Политики служат основой для разработки локальных актов, регламентирующих в ООО «ДубльГИС» вопросы обработки Персональных данных.
1.2 Нормативные ссылки
1.2.1. Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»).
1.2.2. Федеральный закон РФ от 27.07.2006. № 149-ФЗ «Об информации, информационных технологиях и защите информации».
1.2.3. Постановление Правительства Р Ф от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
1.2.4. Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
1.3 Область действия
1.3.1. Действие настоящей Политики распространяется на все процессы ООО «ДубльГИС», в рамках которых осуществляется обработка Персональных данных, как с использованием средств вычислительной техники, в том числе с использованием информационно-телекоммуникационных сетей, так и без использования таких средств.
1.4 Утверждение и пересмотр

1.4.1. Настоящая Политика вступает в силу с момента ее утверждения Генеральным директором ООО «ДубльГИС» и действует бессрочно.
1.4.2. ООО «ДубльГИС» проводит пересмотр положений настоящей Политики и их актуализацию по мере необходимости, но не реже одного раза в три года, а также:

• при изменении требований законодательства РФ к порядку обработки и обеспечению безопасности Персональных данных;
• по результатам проверок органа по защите прав Субъектов Персональных данных, выявившим несоответствия требованиям законодательства РФ по обеспечению безопасности Персональных данных;
• в случае выявления существенных нарушений по результатам внутренних проверок системы защиты Персональных данных;
• при изменении процессов и технологий обработки Персональных данных в ООО «ДубльГИС».

1.4.3. При внесении изменений указывается дата последнего обновления редакции. Новая редакция вводится в действие приказом Генерального директора ООО «ДубльГИС».
1.4.4. Обеспечение неограниченного доступа к Политике реализуется путем ее публикации на сайте ООО «ДубльГИС» в сети Интернет.
1.4.5. Термины, использованные в настоящей Политики с заглавной буквы, имеют значения, указанные в разделе 2 настоящей Политики, если в настоящей Политики не определено иное.

2. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ
2.1. Аффилированное лицо — (а) в отношении лица, не являющегося физическим лицом, — любое другое лицо, прямо или косвенно Контролирующее, Контролируемое или находящееся под общим Контролем с ООО «ДубльГИС»; (b) в отношении физического лица — близкий родственник такого лица, управляющий трастом (трасти), бенефициаром которого является такое лицо или близкий родственник такого лица, и любое лицо, не являющееся физическим лицом, которое такое лицо или близкий родственник такого лица прямо или косвенно Контролирует, или которое находится под их общим Контролем. Для целей настоящего определения под Контролем понимается возможность по отношению к лицу или право другого лица (физического лица или юридического лица) прямо либо косвенно (через лицо или несколько лиц), самостоятельно или совместно с Аффилированными лицами, на основании корпоративного договора, договора доверительного управления имуществом, или в результате других сделок либо по иным основаниям: распоряжаться более чем 50% (пятьюдесятью процентами) общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный (складочный) капитал Контролируемого лица; и (или) назначать или прекращать полномочия единоличного исполнительного органа и (или) более чем 50% (пятидесяти процентов) состава коллегиального исполнительного органа Контролируемого лица и (или) избирать более чем 50% (пятьдесят процентов) состава совета директоров (наблюдательного совета) или иного коллегиального органа Контролируемого лица; и (или) определять решения или действия такого лица по всем или существенной части вопросов (фактически или юридически). Термины «Контролируемый», «Контролирует» и «Контролирующий» следует толковать соответствующим образом.
2.2. Блокирование персональных данных — временное прекращение обработки Персональных данных (за исключением случаев, если обработка необходима для уточнения Персональных данных).
2.3. Иные данные — данные, не являющиеся Персональными данными и необходимые для функционирования Сервисов 2ГИС.
2.4. Информационная система Персональных данных или ИСПДн — совокупность содержащихся в базах данных Персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.5. Контрагент — юридическое лицо, индивидуальный предприниматель, физическое лицо, заключившее или собирающееся заключить с Оператором какой-либо договор (соглашение) в своем интересе или от имени и в интересах представляемого им юридического лица / индивидуального предпринимателя / физического лица в соответствии с требованиями действующего законодательства.
2.6. Обезличивание Персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность Персональных данных конкретному Субъекту Персональных данных.
2.7. Обработка Персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с Персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Персональных данных.
2.8. Оператор или ООО «ДубльГИС» или Администрация — Общество с ограниченной ответственностью «ДубльГИС», самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку Персональных данных, а также определяющее цели обработки Персональных данных, состав Персональных данных, подлежащих обработке, действия (операции), совершаемые с Персональными данными.
2.9. Партнер — юридическое лицо, с которым у ООО «ДубльГИС» заключены договоры в рамках реализации модели продажи мест для размещения рекламы на площадках 2ГИС (в Сервисе 2ГИС) на разных территориях в отсутствии собственных бизнес-единиц на этих территориях.
2.10. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту Персональных данных), в том числе фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, должность, профессия, доходы, изображение, номер телефона и/или адрес электронной почты Субъекта Персональных данных, данные, автоматически передаваемые Оператору с помощью установленного на устройстве Субъекта Персональных данных программного обеспечения (при условии, что на основании этих данных можно идентифицировать Субъекта), в том числе IP-адрес, полученные Оператором в результате договорных или иных гражданско-правовых отношений с третьими лицами, а также при осуществлении Оператором хозяйственной деятельности (в том числе, Персональные данные Работника и/или Контрагента).
2.11. Пользователь — дееспособное физическое лицо, использующее или намеревающееся использовать Сервисы 2ГИС в своем интересе или от имени и в интересах представляемых им юридических лиц и/или индивидуальных предпринимателей, информация о которых размещена в Справочнике организаций 2ГИС.
2.12. Работник — физическое лицо, находящееся в трудовых отношениях с Оператором.
2.13. Распространение Персональных данных — действия, направленные на раскрытие Персональных данных неопределенному кругу лиц;
2.14. Сервисы 2ГИС — совокупность программных продуктов 2ГИС, объединяющих в своем составе Цифровые планы и/или Справочники организаций, а также каждая входящая в их состав или используемая совместно с ними программа для ЭВМ или база данных в отдельности, и аппаратных средств, доступ к которым предоставляется пользователям с использованием сайта; программы для ЭВМ, объединяющие в своем составе справочную информацию об ассортименте, ценах, скидках, акциях и иной информации производителей и/или продавцов товаров/ работ/ услуг. К примеру, сайты в доменах flamp.ru, 2gis.ru, 2gis. kz, 2gis. kg, 2gis. uz, 2gis. az, 2gis.com, мобильное приложение 2ГИС;
2.15. Соискатели — кандидаты на замещение вакантных должностей.
2.16. Справочник организаций — база данных электронного справочника, включающая информацию о наименованиях, местонахождении, телефонах, адресах электронной почты и сайтов, видах производимых и реализуемых товаров (выполняемых работ, оказываемых услуг) и прочие сведения об организациях и индивидуальных предпринимателях, находящихся в пределах определенной территории, совпадающей с границами совмещенного с ним Цифрового плана, а также иных организациях по усмотрению ООО «ДубльГИС».
2.17. Субъект Персональных данных (Субъект) — физическое лицо, обладающее Персональными данными прямо или косвенно его определяющими.
2.18. Уничтожение Персональных данных — действия, в результате которых становится невозможным восстановить содержание Персональных данных в информационной системе Персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.19. Цифровой план — база данных электронной карты, включающая геоинформационные данные о географических объектах и населенных пунктах в пределах территории, ограниченной определенными географическими координатами.
3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. При организации обработки Персональных данных Субъектов Персональных данных ООО «ДубльГИС» руководствуется следующими принципами:

• законности целей и способов обработки Персональных данных;
• добросовестности и справедливости;
• обработки только Персональных данных, которые отвечают целям их обработки;
• обеспечения точности Персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки Персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных, или неточных данных;
• соответствия целей обработки Персональных данных целям, заранее определенным и заявленным при сборе Персональных данных, а также полномочиям Оператора;
• соответствия содержания и объема обрабатываемых Персональных данных, способов обработки Персональных данных заявленным целям обработки. Обрабатываемые Персональные данные не являются избыточными по отношению к заявленным целям обработки;
• достоверности Персональных данных, их достаточности для целей обработки, недопустимости обработки Персональных данных, избыточных по отношению к целям, заявленным при сборе Персональных данных;
• недопустимости объединения баз данных, содержащих Персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• хранения Персональных данных в форме, позволяющей определить Субъекта Персональных данных, не дольше, чем этого требуют цели их обработки. Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЛЯ КАЖДОЙ КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Для каждой категории Субъектов Персональных данных определены цели обработки Персональных данных и их состав.
4.2. ООО «ДубльГИС» обрабатывает Персональных данные Работников, указанные в п. 4.3 настоящей Политики в целях:

• обеспечения финансово-хозяйственной деятельности;
• ведения кадрового учёта, кадрового делопроизводства;
• ведения бухгалтерского и налогового учётов;
• содействия Работникам и бывшим Работникам в трудоустройстве, обучение и продвижение по службе, предоставление различных видов льгот;
• выполнения требований трудового законодательства;
• исполнения заключенных трудовых договоров с Работниками;
• исполнения налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, единого социального налога, пенсионного законодательства при формировании и предоставлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование;
• перечисления заработной платы, учёт размера заработной платы и рабочего времени;
• оформления добровольного медицинского страхования Работников;
• хранения учетных данных с целью их идентификации, аутентификации, разграничения прав доступа к информационным ресурсам ООО «ДубльГИС»;
• обеспечения оперативной коммуникации;
• организации пропускного режима на территорию ООО «ДубльГИС»;
• организации совместной работы, управление продажами, задачами и проектами;
• автоматизация постановки задач Работникам и оказание технической поддержки;
• организации хранения информации, знаний, документов и кода;
• передачи данных о Работниках в Фонд социального страхования Российской Федерации с целью выплаты пособий по нетрудоспособности, по уходу за детьми и прочих пособий;
• передачи данных о Работниках в Пенсионный фонд Российской Федерации с целью регулирования трудовых отношений и иных непосредственно связанных с ними отношений с Работниками;
• предоставления информации налоговым и судебным органам в связи с подтверждением правильности примененного налогообложения;
• возможного предложения вакантных должностей Работникам, в том числе после прекращения трудовых отношений (включение в кадровый резерв);
• размещения данных о Работнике в программных продуктах 2ГИС, на сайтах в сети Интернет, включая онлайн-сервисы 2ГИС, в социальных сетях, в составе публикаций о проводимых мероприятиях, новостей программных продуктов 2ГИС и/или онлайн-сервисов 2ГИС и прочих новостных и информационных публикаций;
• администрирование информационных систем Персональных данных;
• изготовление подарочной/сувенирной продукции для Работников ООО «ДубльГИС».

4.3. Оператор обрабатывает следующие Персональные данные Работников:

• фамилия, имя, отчество;
• дата рождения;
• место рождения;
• гражданство;
• серия, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• адрес регистрации (по месту пребывания, месту жительства)/адрес фактического проживания, абонентские номера и иные контакты;
• отношение к воинской обязанности и сведения, отраженные в документах воинского учета;
• домашний/мобильный телефон;
• рабочий номер телефона;
• адрес корпоративной электронной почты;
• семейное положение (наличие брачных отношений, детей);
• сведения о составе семьи и наличии иждивенцев;
• сведения о годности по состоянию здоровья выполнять трудовую функцию;
• индивидуальный номер налогоплательщика;
• страховой номер индивидуального лицевого счета Пенсионного фонда Российской Федерации;
• номер страхового медицинского полиса обязательного медицинского страхования;
• сведения о квалификации (уровне знаний, умений, профессиональных навыков и опыта работы), в том числе, сведения о местах работы, ее продолжительности (стаже) и характере исполняемых обязанностей, заработной плате и занимаемых должностях; и сведения об образовании, в том числе об общем и профессиональном образовании, профессиональном обучении, дополнительном образовании, копии документов об образовании;
• сведения о заработной плате Работника;
• номер банковского счета / счета банковской карты;
• сведения о социальных льготах;
• сведения о повышении квалификации и переподготовке Работников, их аттестации, служебных расследованиях;
• Персональные данные, размещаемые Работником самостоятельно на портале https://planeta.2gis.ru/, включая адреса личных страниц в социальных сетях, имя (никнейм) в программных продуктах, используемых Работником для связи;
• сведения о наградах и иных формах поощрения;
• адрес электронной почты;
• фотографические изображения;
• рекомендации, характеристики;
• размер одежды и обуви;
• город местонахождения работника;
• страна местонахождения работника;
• хобби, увлечения работника.
• иные Персональные данные, предоставляемые Работником.

4.4. В целях обеспечения оперативной коммуникации между Работниками и работниками Партнеров и Аффилированных лиц ООО «ДубльГИС», администрирования информационных систем Персональных данных осуществляет обработку следующих Персональных данных работников Партнеров и Аффилированных лиц:

• фамилия, имя, отчество;
• дата рождения;
• рабочий номер телефона;
• мобильный номер телефона;
• адрес корпоративной электронной почты;
• Персональные данные, размещаемые работниками Партнеров и Аффилированных лиц самостоятельно на портале planeta.2gis.ru/, включая адреса личных страниц в социальных сетях, имя (никнейм) в программных продуктах, используемых работником для связи, адрес личной электронной почты;
• ссылка на профиль на сайте planeta.2gis.ru;
• офис (идентификация места работы);
• занимаемая должность, компания (компания работодателя / представляемого лица);
• фотографические изображения.

4.5. В целях администрирования информационных систем Персональных данных, хранения учетных данных с целью идентификации, аутентификации, разграничения прав доступа к информационным ресурсам Оператора, обеспечения функционирования учетной записи работника в информационных системах, сервисах, программных продуктах 2ГИС и программных средствах, оказания технической поддержки работнику при работе в программных продуктах 2ГИС и программных средствах Оператор обрабатывает следующие персональные данные работников Партнеров и Аффилированных лиц:

• фамилия, имя, отчество;
• рабочий номер телефона;
• мобильный номер телефона;
• адрес корпоративной электронной почты;
• офис (идентификация места работы);
• занимаемая должность, компания (компания работодателя / представляемого лица);
• фотографические изображения.

4.6. В случае обработки Персональных данных работников Партнеров или Аффилированных лиц, Партнеры или Аффилированные лица получают согласия своих работников на передачу их Персональных данных ООО «ДубльГИС» и несут ответственность за соответствие такой передачи применимому законодательству.
4.7. В целях учёта налоговых льгот при начислении заработной платы, предоставления социальных льгот, гарантий и компенсаций Работникам и членам их семей, а также с целью оперативной связи с родственниками работника при возникновении угрозы жизни и здоровью Работника ООО «ДубльГИС» обрабатывается следующие Персональные данные родственников Работников:

• фамилия, имя, отчество;
• степень родства;
• дата рождения;
• номер домашнего/мобильного телефона номер домашнего/мобильного телефона;

4.8. Персональные данные родственников предоставляются Оператору Работником. Работник гарантирует ООО «ДубльГИС» получение согласия родственников на предоставление их персональных данных.
4.9. ООО «ДубльГИС» обрабатывает Персональных данные Контрагентов, если они являются Субъектами, их представителей и/или работников, указанные в п. 4.10 настоящей Политики в целях:

• формирования и исполнения договоров гражданско-правового характера;
• отслеживания взаиморасчетов с Контрагентами;
• учета данных для подписания актов выполненных работ с Контрагентами;
• взаимодействия с Контрагентами, представителями/работниками Контрагентов после истечения сроков действия гражданско-правовых договоров для осуществления информационных и рекламных рассылок (по номеру телефона, включая мессенджеры и по электронной почте);
• информирования Контрагентов, представителей/работников Контрагентов о новинках программных продуктов и Сервисах 2ГИС, услуг ООО «ДубльГИС»;
• администрирования информационных систем Персональных данных.

4.10. ООО «ДубльГИС» обрабатывает следующие Персональные данные Контрагентов, если они являются Субъектами, работников и/или представителей Контрагентов:

• фамилия, имя, отчество;
• дата рождения;
• пол;
• серия, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• адрес электронной почты;
• номер телефона;
• компания (компания работодателя / представляемого лица);
• должность;
• офис (идентификация места работы);
• иные Персональные данные, предоставляемые Контрагентом.

4.11. Контрагент передает указанные в п. 4.10 настоящей Политики Персональные данные ООО «ДубльГИС». В случае передачи Персональных данных своих работников / представителей Контрагент получает их согласие на передачу их Персональных данных ООО «ДубльГИС» и несет ответственность за соответствие такой передачи применимому законодательству.
4.12. В целях учета Соискателей на замещение вакантных должностей, сопоставления Соискателей вакантным должностям (рассмотрение откликов на вакансии и резюме, проведение собеседований), включения в кадровый резерв и возможного предложения вакантных должностей, которые будут открыты в будущем, в том числе в случае отказа в принятии на работу, администрирования информационных систем Персональных данных, ведения кадрового резерва, проведения аналитики рынка вакансий, идентификация кандидата для подтверждения достоверности предоставленных кандидатом сведений ООО «ДубльГИС» обрабатывает следующие Персональные данные Соискателей:

• фамилия, имя, отчество;
• серия, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• адрес регистрации (по месту пребывания, месту жительства)/адрес фактического проживания, абонентские номера и иные контакты;
• дата и место рождения;
• семейное положение (наличие брачных отношений, детей);
• сведения о квалификации (уровне знаний, умений, профессиональных навыков и опыта работы), в том числе сведения о местах работы, ее продолжительности (стаже) и характере исполняемых обязанностей, заработной плате и занимаемых должностях; сведения об образовании, в том числе об общем и профессиональном образовании, профессиональном обучении, дополнительном образовании;
• сведения о наградах и иных формах поощрения;
• фотографические изображения;
• адрес электронной почты;
• домашний/мобильный номер телефона;
• индивидуальный номер налогоплательщика;
• иные Персональные данные, предоставленные в резюме (адреса личных страниц в социальных сетях, ссылки на аккаунты в профессиональных сообществах, имя (никнейм) в программных продуктах, используемых Соискателем для связи, и др.);
• иные Персональные данные Соискателей, предоставляемые ими.

4.13. В целях содействия Соискателям в трудоустройстве, рассмотрения откликов на вакансии и резюме, проведения собеседований, отбора Соискателей на замещение вакантных должностей, включения в кадровый резерв, ООО «ДубльГИС» обрабатывает следующие Персональные данные Соискателей, предоставленные через сайт job.2gis.ru, а также иные сайты, где реализована форма сбора персональных данных для соискателей, в отношении вакансий, открытых в ООО «ДубльГИС», у Партнеров, Аффилированных лиц ООО «ДубльГИС» обрабатывает следующие Персональные данные Соискателей:

• фамилия, имя, отчество;
• адрес регистрации (по месту пребывания, месту жительства)/адрес фактического проживания, абонентские номера и иные контакты;
• дата и место рождения;
• сведения о квалификации (уровне знаний, умений, профессиональных навыков и опыта работы);
• сведения о местах работы, ее продолжительности (стаже) и характере исполняемых обязанностей, и занимаемых должностях;
• сведения об образовании, в том числе об общем и профессиональном образовании, профессиональном обучении, дополнительном образовании;
• фотографические изображения;
• адрес электронной почты;
• домашний/мобильный номер телефона;
• иные Персональные данные, которые Соискатель включает в форму-отклик, в резюме или предоставляет по запросу.

4.14. ООО «ДубльГИС» обрабатывает Персональных данные Пользователей, указанные в п. 4.15. настоящей Политики в целях:

• идентификации стороны в рамках договоров между Пользователем и Администрацией, включая в целях аутентификации Пользователя при регистрации в Сервисах 2ГИС путем совершения звонка на номер телефона Пользователя для сообщения проверочного кода;
• предоставления Пользователям услуг с использованием Сервисов 2ГИС;
• совершенствования Сервисов 2ГИС;
• разработки новых сервисов и услуг 2ГИС на основе обратной связи/информации от Пользователей;
• реагирования на запросы Пользователей в службу поддержки,
• информирования Пользователей о возможностях Сервисов 2ГИС,
• направления запросов, касающихся использования Сервисов 2ГИС;
• выполнения маркетинговых задач;
• выполнения статистических и иных исследований;
• реализации отношений по предоставлению Администрацией данных из cookies третьим лицам для осуществления ими деятельности по демонстрации Пользователям таргетированных рекламных и информационных материалов в сети Интернет или для оказания третьими лицами иных услуг Пользователям в установленном законом порядке;
• выдачи кассовых чеков Пользователям,
• организации услуг доставки товаров;
• формирования профиля Пользователя; в целях коммуникации с Пользователем для налаживания партнерских отношений, ведения переговоров по согласованию условий договоров с Пользователем, заключения и исполнения таких договоров;
• добавления и/или актуализации информации в Сервисе 2ГИС, устранения неточностей в Сервисе 2ГИС, включая коммуникации с Пользователем в указанных целях;
• совершения действий по поиску и привлечению Пользователей,
• проведения очной идентификации Пользователей;
• рекламных и информационных рассылок, включая электронные сообщения, push-сообщения;
• обработки Персональных данных по поручению третьих лиц (операторов Персональных данных).

4.15. ООО «ДубльГИС» обрабатывает следующие Персональные данные Пользователей:

• фамилия, имя, отчество;
• серия, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• адрес регистрации;
• адрес доставки товара;
• платежные данные;
• адрес электронной почты;
• домашний/мобильный номер телефона;
• дата рождения;
• пол;
• изображение пользователя (аватар);
• название компании работником/представителем которой является Пользователь;
• должность;
• иные Персональные данные, предоставляемые Пользователем.

4.16. ООО «ДубльГИС» обрабатывает следующие Иные данные Пользователей необходимые для функционирования Сервсив 2ГИС, автоматически передаваемые Сервисам 2ГИС в процессе их использования с помощью установленного на устройстве Пользователя программного обеспечения, в т. ч.:

• IP-адрес; геопозиция Пользователя (мобильное приложение); рекламные идентификаторы (GAID, IDFA (не обрабатывается с версии 5.39 2GIS), OAID и иные, соотносящиеся с операционной системой Пользователя); данные из cookies, информация о браузере, операционной системе, времени доступа, поисковых запросах, сведения о местоположении и перемещении устройства Пользователя (чтобы адаптировать Сервисы 2ГИС к текущему местоположению Пользователя), данные об устройстве Пользователя (производитель устройства, модель устройства, размер внутренней памяти устройства, версия операционной системы устройства, платформа (мобильное приложение, веб, планшет и прочее), размер экрана, версия приложения, название оператора сотовой связи, тип связи); язык операционной системы/приложения пользователя; цифровой идентификатор, формируемый в рамках использования Сервиса Сбер ID; хэшированный номер мобильного телефона пользователя, хэшированный номер адрес электронной почты Пользователя.:

4.17. Если на основании Иных данных Оператор может идентифицировать Пользователя, они относятся к Персональным данным, и подлежат обработке как Персональные данные.
4.18. В целях обеспечения функционирования программных продуктов, реализации отдельных функциональных возможностей и реагирования на запросы в службу поддержки Оператор может осуществлять передачу, в том числе трансграничную передачу, Персональных данных Пользователей Аффилированным лицам. Передача Персональных данных Пользователей осуществляется в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
4.19. Администрация не обрабатывает Персональные данные Пользователей, не прошедших регистрацию, авторизацию и/или не разместивших Персональные данные в процессе использования Сервисов 2ГИС, в формах обратной связи Сервисов 2ГИС и/или не предоставивших Персональные данные Администрации самостоятельно посредством оформления заявки в карточке компании на оформление доставки.
4.20. В целях исполнения требований Федерального закона от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью», а также иных смежных требований законодательства Российской Федерации, в том числе проведения общих собраний участников, формирования Совета директоров, проведения заседаний Совета директоров, функционирования Совета директоров, формирования списка Аффилированных лиц, списка участников ООО «ДубльГИС», администрирования информационных систем Персональных данных, ООО «ДубльГИС» обрабатываются следующие Персональные данные органов управления ООО «ДубльГИС»:

• фамилия, имя, отчество;
• адрес электронной почты.

5. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1.В целях обеспечения прав и свобод человека и гражданина при обработке Персональных данных Оператором соблюдаются следующие требования:

• обработка Персональных данных может осуществляться исключительно для обеспечения соблюдения целей, указанных в разделе 4 настоящей Политики;
• Субъекты Персональных данных или их законные представители имеют право ознакомиться с документами Оператора, устанавливающими порядок обработки Персональных данных Субъектов, а также их права и обязанности в этой области;
• Субъекты Персональных данных не должны отказываться от своих прав на сохранение и защиту Персональных данных.

5.2.Субъект самостоятельно принимает решение о предоставлении своих Персональных данных и дает согласие на их обработку Оператором.
5.3.В случае недееспособности Субъекта Персональных данных все Персональные данные Субъекта следует получать от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении Персональных данных своего подопечного и дает согласие на их обработку Оператором.
5.4. Согласие на обработку Персональных данных может быть отозвано Субъектом Персональных данных на основании его письменного запроса или в форме электронного документа, подписанного электронной подписью в соответствии с законодательством РФ, а также иными способами, предусмотренными законодательством РФ. В случае, указанном в пункте 5.3. настоящей Политики, согласие может быть отозвано законным представителем Субъекта Персональных данных.
5.5. В случаях, когда Оператор может получить необходимые Персональные данные Субъекта только у третьей стороны, Субъект должен быть уведомлен об этом заранее и от него должно быть получено согласие. В уведомлении Оператор обязан сообщить о целях, способах и источниках получения Персональных данных, а также о характере и перечне подлежащих получению Персональных данных и возможных последствиях отказа Субъекта дать согласие на их получение.
5.6.Если персональные данные получены не от Субъекта персональных данных, Оператор, за исключением случаев, предусмотренных п. 5.7., до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

• наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
• цель обработки персональных данных и ее правовое основание;
• перечень персональных данных;
• предполагаемые пользователи персональных данных;
• права субъекта персональных данных;
• источник получения персональных данных.

5.7.Оператор освобождается от обязанности предоставить Субъекту Персональных данных сведения, указанные в п. 5.6. в случаях, если:

• Субъект Персональных данных уведомлен об осуществлении обработки его Персональных данных Оператором;
• Персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого, либо выгодоприобретателем, или поручителем, по которому является Субъект Персональных данных;
• Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006 года;
• Оператор осуществляет обработку Персональных данных для статистических или иных исследовательских целей на основе обезличенных данных, если при этом не нарушаются права и законные интересы Субъекта Персональных данных;
• предоставление Субъекту Персональных данных указанных выше сведений нарушает права и законные интересы третьих лиц.

5.8.Оператор не имеет права получать и обрабатывать Персональные данные Субъекта, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, его биометрические данные, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», а также Персональные данные Работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым Кодексом Р Ф или иными федеральными законами. Запрещается запрашивать информацию о состоянии здоровья Работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения Работником трудовой функции.
5.9.При принятии решений, затрагивающих интересы Работника, Оператор не имеет права основываться на Персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных средств доставки.
5.10. Полученные ООО «ДубльГИС» Персональные данные хранятся на следующих видах носителей:

• Бумажные носители (в том числе личные дела, трудовые договоры, трудовые книжки Работников);
• Электронные носители (в том числе корпоративные автоматизированные информационные системы).

5.11. Обработка Персональных данных Субъектов осуществляется смешанным путем:

• неавтоматизированным способом обработки Персональных данных;
• автоматизированным способом обработки Персональных данных (с помощью ПЭВМ и специальных программных продуктов).

5.12. Обработка Персональных данных осуществляется с соблюдением порядка, предусмотренного Федеральным законом от 27.07.2006 № 152 «О персональных данных», Постановлением Правительства от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и Постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
5.13. Документы, содержащие Персональные данные, являются конфиденциальными. Режим конфиденциальности Персональных данных снимается в случаях их обезличивания.
6. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1.Хранение Персональных данных может осуществляться следующими способами:

• в электронном виде:

— в информационных системах / базах данных ООО «ДубльГИС»;
— на Служебных средствах вычислительной техники;
— на внешних машинных (электронных) носителях информации.

• на бумажном носителе:

— в помещениях структурных подразделений, осуществляющих хранение материальных носителей Персональных данных, в специально установленных для этого местах;
— в архиве в соответствии с законодательством РФ об архивном деле.
6.2.Оператор хранит Персональные данные в течение следующих сроков:

• Персональные данные Работников, хранятся в течение срока действия трудовых договоров с Работниками и 6 лет, следующих за датой прекращения трудовых отношений;
• Персональные данные родственников Работников хранятся до достижения целей обработки Персональных данных;
• Персональные данные Соискателей хранятся в течение 10 лет;
• Персональные данные работников Партнеров и Аффилированных лиц хранятся в течение срока действия трудового договора с Партнером или Аффилированным лицом;
• Персональные данные Аффилированных лиц (когда Аффилированное лицо является Субъектом Персональных данных), хранятся до достижения целей обработки Персональных данных;
• Персональные данные Контрагентов, работников и/или представителей Контрагентов ООО «ДубльГИС» хранятся в пределах срока действия соответствующего договора и в течение 10 лет после прекращения его действия, если меньший срок не будет согласован сторонами договора отдельно;
• Персональные данные Пользователей хранятся всё время использования аккаунта/Личного кабинета Пользователем и после его удаления в течение срока, определенного в соответствии с Федеральным законом от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также до  достижения целей обработки Персональных данных или до отзыва согласия на  обработку персональных данных пользователем и в  течение срока, определенного в  соответствии с  Законом № 149-ФЗ;
• Персональные данные членов органов управления ООО «ДубльГИС» хранятся в течение 5 лет после выхода члена из состава органа управления.

6.3.Если в соответствии с требованиями применимого законодательства, предусмотрен иной, более длительный срок хранения какой-либо категории Персональных данных, то он подлежит применению. По истечении срока хранения данные будут уничтожены в порядке, определенном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
6.4.Хранение Персональных данных Субъектов осуществляется структурными подразделениями Оператора в соответствии с перечнем Персональных данных (см. раздел 4 настоящего Положения) и перечнем информационных систем Персональных данных, утвержденным у Оператора (см. Приложение 1).
6.5.Персональные данные Субъектов преимущественно хранятся на электронных носителях в электронном виде в персональных компьютерах, подключенных к локальной компьютерной сети Оператора. Доступ к электронным базам данных ограничен паролем.
6.6.Доступ к бумажным и электронным носителям Персональных данных получают только те Работники, которым это необходимо для выполнения их должностных обязанностей.
6.7.ООО «ДубльГИС» обеспечивает необходимые организационные и технические меры для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения Персональных данных, а также от иных неправомерных действий.
6.8.Возможна передача Персональных данных Субъектов по внутренней сети Оператора с использованием технических и программных средств защиты информации, с доступом только для Работников, допущенных к работе с Персональными данными Субъектов и только в объеме, необходимом данным Работникам для выполнения своих должностных обязанностей.
6.9.Подразделения ООО «ДубльГИС», осуществляющие кадровое делопроизводство, ведут личные дела Работников, в которых содержатся Персональные данные Работников и иные сведения, связанные с трудовой деятельностью Работников. Наряду с копиями документов и личными заявлениями к личному делу Работника приобщается анкета, заполненная Работником. Личные дела, трудовые договоры и трудовые книжки Работников хранятся в помещениях кадровых служб в несгораемых шкафах (сейфах). Ответственность за хранение указанных документов возлагается на руководителя кадрового подразделения.
6.10. Персональные данные Работников на бумажных носителях хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам в специально отведенной секции сейфа (или шкафах), обеспечивающего защиту от несанкционированного доступа.
6.11. Доступ к Персональным данным Работников на бумажных носителях осуществляется в порядке, предусмотренном Разделом 7 настоящего Положения.
6.12. Подразделения Оператора, хранящие Персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному Постановлением Правительства Р Ф 15 сентября 2008 г. № 687.
6.13. Хранение Персональных данных должно осуществляться в форме, позволяющей определить Субъекта Персональных данных, не дольше, чем этого требуют цели обработки Персональных данных, если срок хранения Персональных данных не установлен Федеральным законом № 152-ФЗ «О персональных данных» или соответствующим договором. Обрабатываемые Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.
6.14. Хранение документов, содержащих Персональные данные Субъектов, осуществляется в течение установленных действующими нормативными или локальными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению.

7. ВНУТРЕННИЙ ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
7.1.Доступ к Персональным данным Субъектов имеют Работники Оператора, допущенные к работе с Персональными данными Субъектов. Данным категориям сотрудников в их должностные обязанности включается пункт о сохранении конфиденциальности обрабатываемой информации.
7.2.При предоставлении доступа к Персональным данным Оператор должен соблюдать следующие требования:

• разрешать доступ к Персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те Персональные данные, которые необходимы для выполнения конкретных функций;
• не запрашивать информацию о состоянии здоровья Работника ООО «ДубльГИС», за исключением тех сведений, которые относятся к вопросу о возможности выполнения Работником трудовой функции.

7.3.Доступ к Персональным данным предоставляется Работнику ООО «ДубльГИС» в соответствии с приказом о назначении должностных лиц, которым необходим доступ к Персональным данным в целях выполнения их функциональных обязанностей, утвержденным генеральным директором ООО «ДубльГИС». В приложении к указанному приказу определен перечень должностей, непосредственно использующих Персональные данные в служебных целях, которые имеют право обрабатывать только те Персональные данные, которые необходимы им для выполнения конкретных функций в соответствии с должностной инструкцией указанных лиц.
7.4.Руководители структурных подразделений Оператора имеют доступ к Персональным данным Работников соответствующих структурных подразделений в порядке административной и функциональной подчиненности.
7.5.Остальные Работники ООО «ДубльГИС» получают доступ к Персональным данным других Работников в установленном действующим законодательством и настоящим Положением порядке.
7.6.При осуществлении доступа работника к информационным системам / базам данных ему должен быть предоставлен минимальный набор прав доступа в рамках закрепленной за пользователем роли. В информационных системах реализуется контроль доступа пользователя к Персональным данным.
7.7.Доступ работника к обрабатываемым Персональным данным прекращается в случае отсутствия (минования) производственной необходимости, изменения функциональных и должностных обязанностей, длительного отпуска, увольнения работника. В целях надлежащей организации производственного процесса и обеспечения оптимального взаимодействия между подразделениями и отдельными Работниками все работники ООО «ДубльГИС» имеют доступ к информационной системе «Планета», размещенной на корпоративном сайте planeta.2gis.ru/, содержащим следующую информацию о Работниках:

• фамилия, имя, отчество;
• дата рождения;
• рабочий номер телефона;
• мобильный номер телефона;
• адрес корпоративной электронной почты;
• адрес личной электронной почты;
• адреса личных страниц в социальных сетях;
• имя (никнейм) в программных продуктах, используемых Работником для связи;
• офис (идентификатор места работы);
• занимаемая должность;
• компания (компания работодателя / представляемого лица);
• фотографические изображения.
• город местонахождения работника;
• страна местонахождения работника;
• хобби, увлечения работника.

7.8.Работники ООО «ДубльГИС», получающие Персональные данные, обязаны:

• выполнять требования настоящего Положения по обеспечению защиты Персональных данных;
• пресекать действия других лиц, которые могут привести к разглашению Персональных данных;
• использовать Персональные данные только в целях выполнения функциональных обязанностей;
• использовать в своей работе лишь те Персональные данные, которые действительно необходимы для полноценного выполнения функциональных обязанностей;
• при составлении документов, включающих Персональные данные, ограничиваться минимальными, действительно необходимыми, сведениями и количеством экземпляров;
• документы, содержащие Персональные данные, во время работы располагать так, чтобы исключить возможность ознакомления с ними других лиц, в том числе допущенных к подобным сведениям, но не имеющих к ним прямого отношения;
• об утрате или недостаче документов, содержащих Персональные данные, немедленно сообщать своему непосредственному руководителю;
• отказывать в предоставлении Персональных данных третьим лицам без письменного разрешения ООО «ДубльГИС» или уполномоченного им лица;
• в случае увольнения сдать непосредственному руководителю все служебные документы, содержащие Персональные данные (бумажные, электронные носители), которые находились в его распоряжении в связи с выполнением функциональных обязанностей во время работы в ООО «ДубльГИС».

7.9.Субъект Персональных данных, данные о котором обрабатываются в ООО «ДубльГИС», имеет право на свободный доступ к своим Персональным данным, получение копий своих Персональных данных (за исключением случаев, предусмотренных федеральным законом) на основании его письменного запроса.
7.10. ООО «ДубльГИС» обязано в порядке, предусмотренном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», сообщить Субъекту Персональных данных или его законному представителю информацию о наличии Персональных данных, относящихся к соответствующему Субъекту Персональных данных, а также предоставить возможность ознакомления с ними при обращении Субъекта Персональных данных или его законного представителя или в течение десяти рабочих дней с даты получения запроса Субъекта Персональных данных или его законного представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

8. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1.При передаче Персональных данных Субъекта Оператор обязан соблюдать следующие требования:

• не сообщать Персональные данные Субъекта третьей стороне без надлежащего согласия Субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, а также в случаях, предусмотренных действующим законодательством;
• не сообщать Персональные данные Субъекта в коммерческих целях без его надлежащего согласия;
• передавать Персональные данные Субъекта представителям Субъекта в порядке, установленном действующим законодательством, и ограничивать эту информацию только теми Персональными данными Субъекта, которые необходимы для выполнения указанными представителями их функций;
• предупредить лиц, получающих Персональные данные Субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

8.2.Лица, получающие Персональные данные Субъекта, обязаны соблюдать требования конфиденциальности.
8.3.Все сведения о передаче Персональных данных Субъекта регистрируются в Журналах учета обращений и запросов Субъекта Персональных данных, уполномоченного органа по защите прав субъектов Персональных данных, а также третьих лиц, участников правоотношений целях контроля правомерности использования данной информации лицами, ее получившими. В Журналах фиксируются сведения о лице, направившем запрос, дата передачи Персональных данных или дата уведомления об отказе в их предоставлении, а также указываются Персональные данные, которые были переданы.
8.4.Передача Персональных данных Субъектов третьим лицам осуществляется Оператором только с их надлежащего согласия, за исключением случаев, если:

• передача необходима для защиты жизни и здоровья Субъекта, либо других лиц и получение его согласия невозможно;
• по запросу органов дознания, следствия и суда в связи с проведением расследования или судебным разбирательством;
• передача Персональных данных осуществляется в рамках исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект Персональных данных, кроме случаев, требующих наличие согласия Субъекта Персональных данных;
• в иных случаях, прямо предусмотренных федеральными законами.

8.5. В случае оформления письменного согласия Субъекта на передачу его Персональных данных третьим лицам, согласие должно включать в себя:

• фамилию, имя, отчество, адрес Субъекта, серию, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование и адрес оператора, получающего согласие субъекта персональных данных
• цель обработки Персональных данных Субъекта третьей стороной;
• перечень Персональных данных, на передачу которых дается согласие Субъекта;
• перечень действий третьей стороны с Персональными данными, на совершение которых дается согласие, общее описание используемых третьей стороной способов обработки Персональных данных;
• срок, в течение которого действует согласие, а также порядок его отзыва.

8.6. В случае смерти Субъекта согласие на обработку его Персональных данных дают в письменной форме наследники Субъекта, если такое согласие не было дано Работником при его жизни.
8.7. Согласия Работника на распространение его Персональных данных не требуется, в случае обезличивания Персональных данных.
8.8. Информация, относящаяся к Персональным данным Работника, может быть предоставлена государственным органам и органам местного самоуправления в пределах их полномочий, установленных федеральными законами. Основанием для передачи Персональных данных Работника является мотивированный требованиями законодательства или решением суда письменный запрос от должностного лица соответствующего государственного органа или органа местного самоуправления, подписанный руководителем данного органа, заверенный гербовой печатью.
8.9. Родственники и члены семьи Работника доступ к его Персональным данным не имеют.
8.10. В случае если лицо, обратившееся с запросом о предоставлении Персональных данных, не уполномочено федеральным законом, настоящей Политикой, другими локальными нормативными актами ООО «ДубльГИС» на получение Персональных данных Субъекта, либо отсутствует надлежащее согласие Субъекта на предоставление его Персональных данных, Оператор обязан отказать в предоставлении Персональных данных Субъекта указанному лицу.
8.11. Все меры конфиденциальности при сборе, обработке и хранении Персональных данных Субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
8.12. В случае если ООО «ДубльГИС» пользуется услугами третьих лиц на основании заключенных договоров (либо иных оснований), и в силу данных договоров они должны иметь доступ к Персональным данным, обрабатываемым ООО «ДубльГИС», то соответствующие Персональные данные предоставляются ООО «ДубльГИС» только после подписания с данными лицами соглашения о неразглашении Персональных данных или включения в договоры пунктов о неразглашении Персональных данных, в том числе предусматривающих защиту Персональных данных, и иных пунктов, предусмотренных Положением о договорной работе ООО «ДубльГИС».
8.13. Все типовые формы договоров ООО «ДубльГИС» должны содержать положения про обработку персональных данных для того, чтобы исключить риск незаконной обработки персональных данных со стороны контрагента.
8.14. В случае заключения расходного/доходного договора с условием об использовании персональных данных контактных лиц за пределами срока действия договора, условие об этом необходимо включить в договор.
8.15. В случае поручения ООО «ДубльГИС» обработчику обработки персональных данных, необходимо включить положение об этом в договор.
8.16. Лицо, осуществляющее обработку персональных данных по поручению ООО «ДубльГИС» должно соответствовать требованиям, предусмотренным Федеральным закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
8.17. В поручении должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных по поручению ООО «ДубльГИС», цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федеральным закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», обязанность по запросу ООО «ДубльГИС» в течение срока действия поручения, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения ООО «ДубльГИС» требований, настоящего пункта, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных», в том числе требование об уведомлении ООО «ДубльГИС» о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона «О персональных данных».
8.18. В случае передачи персональных данных, необходимо включить положение об этом в договор.
9. БЛОКИРОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Блокирование Персональных данных конкретного Субъекта Персональных данных должно осуществляться во всех информационных системах Персональных данных ООО «ДубльГИС», включая архивы баз данных, содержащих такие Персональные данные.
9.2. Блокирование Персональных данных в ООО «ДубльГИС» осуществляется:

• в случае выявления неправомерной обработки Персональных данных при обращении/направлении запроса Субъекта Персональных данных или его представителя либо уполномоченного органа по защите прав Субъектов Персональных данных с момента такого обращения или получения указанного запроса на период проверки;
• в случае отсутствия возможности уничтожения Персональных данных в установленные сроки до их уничтожения.

9.3. После устранения выявленной неправомерной обработки Персональных данных ООО «ДубльГИС» осуществляет снятие блокирования Персональных данных. Решение о блокировании и снятии блокирования Персональных данных принимается лицом, ответственным за организацию обработки Персональных данных в ООО «ДубльГИС».
10. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Персональные данные хранятся в течение срока, определенного в разделе 6 настоящей Политики, и подлежат уничтожению по достижении целей обработки, истечения срока или в случае утраты необходимости в их достижении.
10.2. Документы, содержащие Персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном настоящей Политикой и архивным законодательством Российской Федерации.
10.3. Уничтожение документов, содержащих Персональные данные, производится:

• в случае отзыва согласия Субъекта Персональных данных, если отсутствуют иные законные основания обработки Персональных данных;
• по достижении целей их обработки согласно номенклатуре дел и документов или при утрате необходимости в их достижении;
• Персональные данные больше не требуются для достижения целей, в которых они были получены;
• по достижении окончания срока хранения Персональных данных, оговоренного в соответствующем соглашении заинтересованных сторон;
• истек срок согласия на обработку Персональных данных;
• в случае выявления неправомерной обработки Персональных данных в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки Персональных данных.

10.4. Уничтожение Персональных данных, находящихся на машинных носителях информации, выполняется средствами информационной системы (операционной системы, системы управления базами данных) либо путем их обезличивания.
10.5. Уничтожение материальных носителей с Персональными данными осуществляется согласно документу «Регламент по организации обращения с защищаемыми носителями персональных данных».
11. ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
11.1. Методы и способы защиты Персональных данных в информационных системах Оператора должны соответствовать требованиям, установленным:

• Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
• Постановлением Правительства Р Ф от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
• Иным требованиям законодательства о персональных данных.

11.2. При обработке Персональных данных должны приниматься необходимые правовые, организационные и технические меры для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Персональных данных, а также от иных неправомерных действий.
11.3. Обмен Персональными данными при их обработке в информационных системах Персональных данных осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.
11.4. Размещение информационных систем Персональных данных, специальное оборудование и охрана помещений, в которых ведется работа с Персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей Персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
11.5. Для осуществления мероприятий по защите Персональных данных при их обработке в информационных системах Персональных данных системы защиты могут включать в себя следующие подсистемы: управления доступом; регистрации и учета; обеспечения целостности; антивирусной защиты; обеспечения безопасности межсетевого взаимодействия; анализа защищенности; обнаружения вторжений.
11.6. Для обеспечения безопасности Персональных данных при необходимости осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
11.7. В целях обеспечения безопасности Персональных данных при их обработке в информационных системах Персональных данных организуется контроль соблюдения условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией, а также разбирательство и составление заключений по фактам несоблюдения условий доступа к Персональным данным, использования средств защиты информации, которые могут привести к нарушениям конфиденциальности Персональных данных.
11.8. При обнаружении нарушений порядка предоставления Персональных данных незамедлительно приостанавливается предоставление Персональных данных пользователям информационной системы Персональных данных, получивших их с нарушением установленного порядка, до выявления причин нарушений и устранения этих причин.
11.9. Также в ООО «ДубльГИС» применяются следующие меры по обеспечению безопасности персональных данных:

• оценен вред, который может быть причинен Субъекту персональных данных в случае нарушения законодательства РФ в области персональных данных, оценено соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения законодательства РФ в области персональных данных;
• проводится ознакомление работников ООО «ДубльГИС», непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ в области персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику ООО «ДубльГИС» в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
• определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
• проводится оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;
• осуществляется контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
• в случаях, предусмотренным законодательством о персональных данных обеспечивается взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных;

11.10. Ответственность за организацию защиты Персональных данных в информационных системах Персональных данных возлагается на подразделения безопасности и информационных технологий.

12. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ОПЕРАТОРА
12.1. В целях обеспечения защиты Персональных данных Субъекты имеют право:

• получать полную информацию о своих Персональных данных и обработке этих данных (в том числе автоматизированной);
• осуществлять свободный бесплатный доступ к своим Персональным данным, включая право получать копии любой записи, содержащей Персональные данные Субъекта, за исключением случаев, предусмотренных законодательством;
• требовать исключения или исправления неверных, или неполных Персональных данных, а также данных, обработанных с нарушением законодательства;
• при отказе Оператора исключить или исправить Персональные данные Субъекта — заявить в письменной форме о своем несогласии, представив соответствующее обоснование;
• дополнить Персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
• требовать от Оператора уведомления всех лиц, которым ранее были сообщены неверные или неполные Персональные данные Субъекта, обо всех произведенных в них изменениях или исключениях из них;
• обжаловать в суде любые неправомерные действия или бездействие Оператора, или уполномоченного им лица при обработке и защите Персональных данных Субъекта;
• реализовать иные права, предусмотренные законодательством о персональных данных.

12.2. Для защиты Персональных данных Субъектов Оператор обязан:

• за свой счет обеспечить защиту Персональных данных Субъекта от неправомерного их использования или утраты в порядке, установленном законодательством РФ;
• по запросу ознакомить Субъекта Персональных данных или его законных представителей с настоящей Политикой и его правами в области защиты Персональных данных, а также предоставить ему полную информацию о его Персональных данных и обработке этих данных;
• осуществлять передачу Персональных данных Субъекта только в соответствии с настоящей Политикой и законодательством Российской Федерации, а также иным применимым законодательством;
• осуществлять иные обязанности, предусмотренные законодательством о персональных данных.

12.3. Защита информации, содержащей Персональные данные, представляет собой принятие Оператором правовых, организационных и технических мер, направленных на:

• обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
• соблюдение конфиденциальности информации ограниченного доступа;
• реализацию права на доступ к информации.

12.4. Система защиты Персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности Персональных данных и информационных технологий, используемых в информационных системах в соответствии с Постановлением Правительства Р Ф от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
12.5. Для обеспечения безопасности Персональных данных Субъектов при неавтоматизированной обработке Оператором предпринимаются следующие меры:
Определяются места хранения Персональных данных Субъектов, которые оснащаются следующими средствами защиты:

• в кабинете соответствующего департамента находятся специально оборудованные шкафы, защищенные от несанкционированного доступа;
• помещения Оператора находятся под круглосуточной охраной сотрудников вневедомственной охраны;
• все действия по обработке Персональных данных Субъектов осуществляются только Работниками Оператора, надлежащим образом допущенными к работе с Персональными данными Субъектов, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.

12.6. Обработка, уточнение, уничтожение или блокирование Персональных данных Субъектов при осуществлении их обработки без использования средств автоматизации осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
12.7. Для обеспечения безопасности Персональных данных Субъектов Оператором при автоматизированной обработке предпринимаются следующие меры:

• Все действия при автоматизированной обработке Персональных данных Субъектов осуществляются только Работниками Оператора, занимающим должности, указанные в списке должностей, утвержденном соответствующим приказом, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.
• Персональные компьютеры, в которых содержатся Персональные данные Субъектов, защищены паролями доступа. Пароли устанавливаются администратором информационной безопасности Оператора и сообщаются индивидуально Работнику, допущенному к работе с Персональными данными и осуществляющему обработку Персональных данных Субъектов на данном персональном компьютере.
• Обработка Персональных данных при автоматизированной обработке Персональных данных осуществляется с соблюдением порядка, предусмотренного Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

12.8. ООО «ДубльГИС» осуществляет регулярный мониторинг изменений законодательства о персональных данных и в случае необходимости осуществляет информирование работников о соответствующих изменениях.
12.9. В случае изменения сведений, направленных ООО «ДубльГИС» в уполномоченный орган по защите прав субъектов персональных данных в уведомлении об обработке персональных данных, ООО «ДубльГИС» не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить уполномоченный орган по защите прав субъектов персональных данных обо всех произошедших за указанный период изменениях.
13. ТРЕБОВАНИЯ К СОГЛАСИЮ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
13.1. Согласие на обработку персональных данных должно отвечать следующим требованиям:

• должно быть конкретным, информированным, сознательным, предметным и однозначным;
• может быть дано Субъектом или его представителем в любой позволяющей подтвердить факт его получения форме, если законодательством РФ не установлена обязанность получать согласие в письменной форме;
• должно быть дано свободно, своей волей и в своем интересе.

13.2. Обработка персональных данных Субъектов в целях продвижения товаров, работ, услуг на рынке путем прямых контактов с Субъектом с помощью средств связи должна осуществляться только при условии предварительного согласия Субъекта. При этом необходимо обеспечить наличие доказательственной базы получения такого согласия.
13.3. Согласие Субъекта в письменной форме и в форме электронного документа.
13.3.1. Оператор персональных данных, обязан получать согласие Субъекта в письменной форме в следующих случаях:

• включение персональных данных Субъекта в общедоступные источники персональных данных;
• обработка биометрических персональных данных;
• обработка специальных категорий персональных данных;
• трансграничная передача персональных данных на территорию государства, не обеспечивающего адекватную защиту прав Субъектов персональных данных;
• принятие решения на основании исключительно автоматизированной обработки персональных данных, порождающего юридические последствия в отношении Субъекта или иным образом затрагивающего его права и законные интересы;

13.4. Содержание согласие Субъекта в письменной форме должно отвечать требованиям ч. 4 ст. 9 федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных»:
13.5. Согласие Субъекта в письменной форме оформляется на бумажном носителе с собственноручной подписью Субъекта или его представителя. Равнозначным, содержащему собственноручную подпись Субъекта, согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с требованиями федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».
13.6. Согласие Субъекта в любой форме
13.6.1. В случаях, не требующих в соответствии с действующим законодательством оформлять Оператору согласие в письменной форме, может быть получено согласие в любой форме с применением сервисов Оператора, принадлежащих или используемых Оператором, позволяющей подтвердить факт его получения. К таким случаям относятся получение согласий в письменной форме и в форме электронного документа, а также в случаях совершения Субъектом явного действия, например, но не ограничиваясь:

• отправка Оператору после процедуры ознакомления с текстом согласия на обработку персональных данных ответного SMS-сообщения с Кодом подтверждения полученного Субъектом на мобильный номер телефона или посредством голосового подтверждения;
• нажатие Субъектом на кнопку «Подтверждаю», «Согласен», «Принимаю», «Продолжить» и т. п. после процедуры ознакомления с текстом согласия на обработку персональных данных;
• заполнение Чек-бокса рядом с текстом согласия на обработку персональных данных в графическом интерфейсе бизнес-сервиса;
• ответное электронное письмо на электронный почтовый ящик оператора, исходящее от Субъекта с информацией о согласии на обработку персональных данных.

13.7. Обеспечение доказательств наличия правовых оснований на обработку персональных данных.
13.7.1. Оператор осуществляет учет и хранение согласий в течение срока действия согласия, увеличенного на три года (общий срок исковой давности).
13.7.2. В соответствии с требованиями федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных» по запросу уполномоченного органа или Субъекта Оператор обязан предоставить доказательство получения согласия Субъекта на обработку его персональных данных или доказательство наличия иных оснований обработки персональных данных.
13.7.3. Подтверждением факта получения согласия на бумажном носителе является бланк согласия с собственноручной подписью Субъекта или его представителя и указанием даты его подписи.
13.7.4. Хранение Согласий, оформленных на бумажном носителе, в зависимости от вида осуществляется в ответственных подразделениях оператора.
13.7.5. При получении согласия от представителя Субъекта Оператору необходимо осуществлять хранение документов, подтверждающих полномочия представителя, в течение срока, установленного для хранения согласий. Хранение документов, подтверждающих полномочия представителя, осуществляется совместно с согласиями.
13.7.6. Место хранения согласий, а также лица ответственные за организацию хранения, определяется внутренним локальным нормативным документом Оператора.
13.7.7. В целях обеспечения подтверждения получения Оператором согласий в электронном виде, в информационных системах Оператора должны быть реализованы функции учета полученных согласий и хранение подтверждений (с возможностью их выгрузки для последующей печати).
14. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
14.1. Лица, виновные в нарушении требований законодательства о персональных данных, несут ответственность, предусмотренную действующим законодательством Российской Федерации.
Редакция от 01.09.2022 г.