Политика в отношении обработки персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1.Назначение Политики
1.1.1 Настоящая Политика обработки персональных данных (далее – «Политика») регулирует отношения, связанные с обработкой персональных данных, осуществляемых обществом с ограниченной ответственностью «Афонин Консалтинг» (далее – «Организация», «Оператор»), а также вопросы обеспечения безопасности персональных данных.
1.1.2. Настоящая Политика определяет основные принципы, которыми руководствуется Организация при обработке персональных данных в процессе осуществления своей деятельности.
1.1.3. Целью настоящей Политики является формирование и проведение единой политики при обработке и обеспечении безопасности персональных данных.
1.1.4. Действие настоящей Политики распространяется на все процессы Организации, связанные с обработкой и обеспечением безопасности персональных данных, и обязательна для применения всеми работниками Организации.
1.1.5. Внутренние документы Организации, затрагивающие вопросы, рассматриваемые в настоящей Политике, должны разрабатываться с учетом положений настоящей Политики и не противоречить им.
1.1.6. Настоящая Политика размещена в открытом доступе на официальном интернет-сайте Организации по адресу: https://afonin-consulting.ru (интернет-сайт) и его поддоменах, и доступна неограниченному кругу лиц.
1.2. Основные понятия
В целях настоящей Политики используются следующие основные понятия:
1) Персональные данные – любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) Субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;
3) Оператор – юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
4) Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
5) Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
6) Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
7) Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
8) Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
9) Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
10) Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
11) Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
12) Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
13) Cookie-файлы – информация, которая может содержать следующие сведения о Субъекте: IP-адрес устройства, данные геолокации, информацию о программе, с помощью которой осуществляется доступ к интернет-сайту, технические характеристики оборудования и программного обеспечения, которое использует субъект, дата и время доступа к интернет-сайту, а также иные подобные сведения.
1.3. Сокращения
1) Организация – ООО «АФОНИН КОНСАЛТИНГ»;
2) ПД – персональные данные;
3) Политика – Политика обработки персональных данных ООО «АФОНИН КОНСАЛТИНГ», настоящий документ;
4) ФЗ «О персональных данных» - Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»;
5) Роскомнадзор – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, уполномоченный орган по защите прав субъектов персональных данных.
1.4. Основные права субъектов персональных данных
1.4.1. Субъект ПД имеет право на получение информации, касающейся обработки Организацией его ПД.
1.4.2. Субъект ПД вправе требовать от Организации уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
1.4.3. Субъект ПД вправе отозвать данное им согласие на обработку ПД.
1.4.4. Субъект ПД пользуется иными правами, предоставляемыми ему в соответствии с ФЗ «О персональных данных».
1.4.5. Право субъекта ПД на доступ к его ПД может быть ограничено в соответствии с федеральными законами Российской Федерации, в том числе если доступ субъекта ПД к ПД нарушает права и законные интересы третьих лиц.
1.5. Основные обязанности Организации
1.5.1. Организация обязана предоставить субъекту ПД по его просьбе информацию, касающуюся обработки Организацией его ПД, в течение 10 рабочих дней, начиная с даты обращения или получения запроса.
1.5.2. Организация обязана предоставить возможность субъекту ПД ознакомиться с его ПД, находящимися у Организации, либо дать письменный отказ в предоставлении такой информации в течение 10 рабочих дней, начиная с даты обращения или получения запроса.
1.5.3. Организация обязана разъяснить субъекту ПД юридические последствия отказа предоставить его персональные данные, в случае если предоставление ПД является обязательным в соответствии с федеральным законом.
1.5.4. Организация обязана предоставить в Роскомнадзор запрошенные сведения в течение 10 рабочих дней, начиная с даты обращения или получения запроса.
1.5.5. Организация обязана прекратить обработку ПД по требованию субъекта ПД в течение 10 рабочих дней, начиная с даты обращения или получения запроса.
1.5.6. Организация обязана принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
1.5.7. Организация при обработке ПД обязана принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД.
1.5.8. Организация обязана предоставить субъекту ПД информацию о том, какие данные о нем она будет обрабатывать; в случае, если такие ПД получены не от субъекта ПД – обеспечить взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА) и информировать Роскомнадзор о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД.
1.5.9. Организация обязана уведомить Роскомнадзор в течение 72 часов о результатах внутреннего расследования по поводу инцидента и сообщать о лицах, действия которых стали причиной утечки ПД.
1.5.10. Организация обязана соблюдать требования к Оператору, установленные ФЗ «О персональных данных».
1.1.1 Настоящая Политика обработки персональных данных (далее – «Политика») регулирует отношения, связанные с обработкой персональных данных, осуществляемых обществом с ограниченной ответственностью «Афонин Консалтинг» (далее – «Организация», «Оператор»), а также вопросы обеспечения безопасности персональных данных.
1.1.2. Настоящая Политика определяет основные принципы, которыми руководствуется Организация при обработке персональных данных в процессе осуществления своей деятельности.
1.1.3. Целью настоящей Политики является формирование и проведение единой политики при обработке и обеспечении безопасности персональных данных.
1.1.4. Действие настоящей Политики распространяется на все процессы Организации, связанные с обработкой и обеспечением безопасности персональных данных, и обязательна для применения всеми работниками Организации.
1.1.5. Внутренние документы Организации, затрагивающие вопросы, рассматриваемые в настоящей Политике, должны разрабатываться с учетом положений настоящей Политики и не противоречить им.
1.1.6. Настоящая Политика размещена в открытом доступе на официальном интернет-сайте Организации по адресу: https://afonin-consulting.ru (интернет-сайт) и его поддоменах, и доступна неограниченному кругу лиц.
1.2. Основные понятия
В целях настоящей Политики используются следующие основные понятия:
1) Персональные данные – любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) Субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;
3) Оператор – юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
4) Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
5) Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
6) Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
7) Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
8) Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
9) Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
10) Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
11) Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
12) Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
13) Cookie-файлы – информация, которая может содержать следующие сведения о Субъекте: IP-адрес устройства, данные геолокации, информацию о программе, с помощью которой осуществляется доступ к интернет-сайту, технические характеристики оборудования и программного обеспечения, которое использует субъект, дата и время доступа к интернет-сайту, а также иные подобные сведения.
1.3. Сокращения
1) Организация – ООО «АФОНИН КОНСАЛТИНГ»;
2) ПД – персональные данные;
3) Политика – Политика обработки персональных данных ООО «АФОНИН КОНСАЛТИНГ», настоящий документ;
4) ФЗ «О персональных данных» - Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»;
5) Роскомнадзор – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, уполномоченный орган по защите прав субъектов персональных данных.
1.4. Основные права субъектов персональных данных
1.4.1. Субъект ПД имеет право на получение информации, касающейся обработки Организацией его ПД.
1.4.2. Субъект ПД вправе требовать от Организации уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
1.4.3. Субъект ПД вправе отозвать данное им согласие на обработку ПД.
1.4.4. Субъект ПД пользуется иными правами, предоставляемыми ему в соответствии с ФЗ «О персональных данных».
1.4.5. Право субъекта ПД на доступ к его ПД может быть ограничено в соответствии с федеральными законами Российской Федерации, в том числе если доступ субъекта ПД к ПД нарушает права и законные интересы третьих лиц.
1.5. Основные обязанности Организации
1.5.1. Организация обязана предоставить субъекту ПД по его просьбе информацию, касающуюся обработки Организацией его ПД, в течение 10 рабочих дней, начиная с даты обращения или получения запроса.
1.5.2. Организация обязана предоставить возможность субъекту ПД ознакомиться с его ПД, находящимися у Организации, либо дать письменный отказ в предоставлении такой информации в течение 10 рабочих дней, начиная с даты обращения или получения запроса.
1.5.3. Организация обязана разъяснить субъекту ПД юридические последствия отказа предоставить его персональные данные, в случае если предоставление ПД является обязательным в соответствии с федеральным законом.
1.5.4. Организация обязана предоставить в Роскомнадзор запрошенные сведения в течение 10 рабочих дней, начиная с даты обращения или получения запроса.
1.5.5. Организация обязана прекратить обработку ПД по требованию субъекта ПД в течение 10 рабочих дней, начиная с даты обращения или получения запроса.
1.5.6. Организация обязана принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
1.5.7. Организация при обработке ПД обязана принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД.
1.5.8. Организация обязана предоставить субъекту ПД информацию о том, какие данные о нем она будет обрабатывать; в случае, если такие ПД получены не от субъекта ПД – обеспечить взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА) и информировать Роскомнадзор о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД.
1.5.9. Организация обязана уведомить Роскомнадзор в течение 72 часов о результатах внутреннего расследования по поводу инцидента и сообщать о лицах, действия которых стали причиной утечки ПД.
1.5.10. Организация обязана соблюдать требования к Оператору, установленные ФЗ «О персональных данных».
2. ОСНОВНЫЕ ПОЛОЖЕНИЯ
2.1. Правовые основания обработки персональных данных
Организация обрабатывает ПД, руководствуясь:
• Конституцией Российской Федерации;
• Гражданским кодексом Российской Федерации;
• Трудовым кодексом Российской Федерации;
• Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»;
• Федеральным законом от 06.04.2011 №63-ФЗ «Об электронной подписи»;
• Постановлением Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Уставом Организации;
• Положением о защите персональных данных работников при их обработке и хранении Организации;
• Настоящей Политикой;
• Договорами, заключаемыми между Организацией и субъектами ПД;
• Согласиями на обработку персональных данных субъектами ПД.
2.2. Принципы обработки персональных данных
Обработка ПД Организацией осуществляется на основании следующих принципов:
• законности и справедливости целей и способов обработки ПД;
• соответствия целей обработки ПД законным целям, заранее определенным и заявленным при сборе ПД;
• соответствия объема и содержания обрабатываемых ПД, способов обработки ПД целям обработки ПД;
• точности ПД, их достаточности для целей обработки, недопустимости обработки ПД, избыточных по отношению к целям, заявленным при сборе ПД;
• недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих ПД;
• хранения ПД в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, или ФЗ, договор, согласие, устанавливающие срок хранения ПД;
• уничтожения и обезличивания ПД по достижении целей их обработки, в случае утраты необходимости в достижении целей обработки или по окончании срока хранения ПД;
• обеспечения конфиденциальности и безопасности обрабатываемых ПД.
2.3. Цели обработки, субъекты, объём и категории обрабатываемых персональных данных
Организация обрабатывает ПД следующих субъектов:
2.3.1. Работников и бывших работников Организации, а также физических и юридических лиц, вступивших с Организацией в гражданско-правовые отношения на возмездной основе.
2.3.1.1. С целью осуществления возложенных на Организацию законодательством РФ функциональных обязанностей в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, Гражданским кодексом РФ, а также иными федеральными законами и подзаконными нормативными правовыми актами, а именно: начисления и выплаты заработной платы, заключения трудовых и иных договоров, ведения личных карточек, регистрации и обработки сведений о профессиональной служебной деятельности работников, предоставления сведений в Управление Пенсионного фонда, ИФНС, иные органы и учреждения в соответствии с законодательством РФ, регистрации обращений, принятия решения о трудоустройстве и формирования кадрового резерва, исчисления и уплаты, предусмотренных законодательством РФ налогов, сборов и взносов на обязательное социальное и пенсионное страхование, представления установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в Пенсионный фонд РФ, сведений подоходного налога в ФНС России, сведений в ФСС РФ, предоставления сведений в военный комиссариат для осуществления воинского учета, выдачи доступа к информационным системам Организации, контроля количества и качества выполняемой работы работниками Организации, обеспечения безопасности субъектов ПД, осуществления деятельности Организации в соответствии с Уставом Организации, отражение информации во внутренних базах данных Организации, соблюдения требований по охране труда; предоставления налоговых вычетов; контроля количества и качества выполняемой работы; обеспечения сохранности имущества Организации.
2.3.1.2. Следующие категории персональных данных:
• фамилия, имя, отчество;
• пол, возраст;
• дата и место рождения;
• реквизиты документа, удостоверяющего личность;
• идентификационный номер налогоплательщика, дата постановки его на учет, реквизиты свидетельства постановки на учет в налоговом органе;
• СНИЛС;
• адрес регистрации по месту жительства и адрес фактического проживания;
• данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации;
• почтовый и электронный адреса;
• номера телефонов (домашний, мобильный);
• банковские реквизиты;
• семейное положение, сведения о составе семьи, которые могут понадобиться Организации для предоставления льгот, предусмотренных трудовым и налоговым законодательством (только для работников Организации);
• отношение к воинской обязанности (только для работников Организации);
• сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;
• сведения об образовании, профессии, специальности и квалификации;
• сведения об имущественном положении, доходах, задолженности (только для работников Организации);
• информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности в ООО «АФОНИН КОНСАЛТИНГ», сведения об учете рабочего времени (только для работников Организации);
• фотографии и видеоматериалы, полученные Организацией при организации съемок с участием субъекта персональных данных;
• видеозаписи с камер видеонаблюдения;
• изображение, полученное при съемке, и опубликованное субъектом персональных данных лично;
• сведения, включенные в резюме (для кандидатов на замещение вакантных должностей в Организации);
• фотография;
• сведения документов, подтверждающих право на льготы, в том числе сведения об инвалидности (являются специальными категориями ПД);
• сведения о временной нетрудоспособности (являются специальными категориями ПД);
• состояние здоровья, сведения об инвалидности (являются специальными категориями ПД).
2.3.2. Клиентов (физических лиц), в том числе потенциальных, представителей клиентов (юридических лиц), в том числе потенциальных.
2.3.2.1. С целью осуществления возложенных на Организацию законодательством Российской Федерации функций в соответствии с Гражданским кодексом РФ, Налоговым кодексом РФ, а также иными федеральными законами, подзаконными нормативными правовыми актами; информирования о деятельности Организации, предлагаемых продуктах, направления уведомлений, информации и запросов, связанных с оказанием услуг; обработки запросов и заявок клиентов; осуществления рассылки информационно-рекламного характера, исполнение договорных обязательств, информирование посредством отправки электронных писем на адрес электронной почты и SMS-сообщений на телефонный номер, направление уведомлений о новых продуктах и услугах, специальных событиях; предоставление доступа к сервисам, информации и (или) материалам, содержащимся на интернет-сайте и его поддоменах; улучшения качества оказываемых услуг; публикации историй успеха и отзывов на сайте https://afonin-consulting.ru; продвижения услуг на рынке путем осуществления прямых контактов с клиентами; проведения статистических и иных исследований на основе обезличенных персональных данных; обеспечения безопасности субъектов ПД, сохранности имущества Организации и субъектов ПД, осуществления деятельности Организации в соответствии с Уставом Организации.
2.3.2.2. Следующие категории персональных данных:
• фамилия, имя, отчество;
• пол, возраст;
• дата и место рождения;
• реквизиты документа, удостоверяющего личность;
• идентификационный номер налогоплательщика, дата постановки его на учет, реквизиты свидетельства постановки на учет в налоговом органе;
• адрес регистрации по месту жительства и адрес фактического проживания;
• почтовый и электронный адреса;
• номера телефонов;
• фото Субъекта персональных; фотографии и видеоматериалы, полученные Оператором при организации съемок с участием Субъекта персональных данных;
• сведения об образовании, профессии, специальности и квалификации;
• сведения об имущественном положении, доходах, задолженности;
• сведения об основных характеристиках бизнеса: сфера деятельности, виды оказываемых услуг, выполняемых работ, способы масштабирования бизнеса, финансовые результаты; сведения любого характера (операционные, технические, экономические, организационные и другие), в том числе и сведения о бизнес-процессах (формализованных и неформализованных, то есть существующих фактически), результатах интеллектуальной деятельности, сведения о способах осуществления предпринимательской деятельности;
• сведения о способах осуществления предпринимательской деятельности, суммах выручки и чистой прибыли.
2.3.3. Контрагентов (физических лиц), в том числе потенциальных, представителей контрагентов (юридических лиц), в том числе потенциальных.
2.3.3.1. С целью осуществления возложенных на Организацию законодательством Российской Федерации функций в соответствии с Гражданским кодексом РФ, Налоговым кодексом РФ, а также иными федеральными законами, подзаконными нормативными правовыми актами; проявления должной осмотрительности при заключении сделок; заключения и исполнения обязательств по договорам, формирования базы контрагентов, заключения и выполнения обязательств по договорам гражданско-правового характера; осуществления деятельности Организации в соответствии с Уставом Организации.
2.3.3.2. Следующие категории персональных данных:
• фамилия, имя, отчество;
• пол, возраст;
• дата и место рождения;
• реквизиты документа, удостоверяющего личность;
• адрес места жительства (адрес проживания);
• СНИЛС;
• ИНН;
• электронная почта;
• номер телефона;
• банковские реквизиты.
2.3.4. Посетителей и пользователей интернет-сайтов Организации.
2.3.4.1. С целью направления уведомлений, информации и запросов, связанных с оказанием услуг, обработки запросов и заявок клиентов; осуществления рассылки информационно-рекламного характера, информирование посредством отправки электронных писем на адрес электронной почты и SMS-сообщений на телефонный номер о новых продуктах и услугах, специальных событиях; предоставление доступа к сервисам, информации и (или) материалам, содержащимся на интернет-сайте и его поддоменах; улучшения качества оказываемых услуг, продвижения услуг на рынке путем осуществления прямых контактов с клиентами; проведения статистических и иных исследований на основе обезличенных персональных данных; осуществления деятельности Организации в соответствии с Уставом Организации, обеспечения функционирования и улучшения качества сайтов Организации, смягчения рисков предотвращения возможного мошенничества, обеспечения безопасности при использовании сайтов Организации, хранения персональных предпочтений и настроек пользователей, ведения аналитики.
2.3.4.2. Следующие категории персональных данных:
• фамилия, имя, отчество (в случае заполнения формы обратной связи);
• электронная почта (в случае заполнения формы обратной связи);
• номер телефона (в случае заполнения формы обратной связи);
• cookie-файлы.
2.4. Порядок и условия обработки персональных данных
2.4.1. Обработка ПД Организацией осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения.
2.4.2. Организация осуществляет смешанную обработку ПД (производится как при помощи средств вычислительной техники, так и без них).
2.4.3. Автоматизированная обработка ПД осуществляется согласно требованиям и положениям настоящей Политики в части обработки ПД в информационных системах ПД Организации, а также требованиям законодательства РФ.
2.4.4. Обработка ПД без использования средств автоматизации осуществляется согласно внутренним директивам, инструкциям, нормативным документам и регламентам Организации.
2.4.5. В случае необходимости осуществления трансграничной передачи ПД Организация, перед совершением такой передачи, обязана убедиться в том, что иностранным государством, на территорию которого осуществляется передача ПД, обеспечивается адекватная защита прав субъектов ПД, а также отсутствия установленных законодательством запретов или ограничений на передачу ПД на территорию данного иностранного государства.
2.4.6. Трансграничная передача ПД на территорию иностранных государство, не обеспечивающих адекватной защиты прав субъектов ПД, может осуществляться Организацией в случаях:
- наличия согласия в письменной форме субъекта ПД;
- исполнения договора, стороной которого является субъект ПД;
- в иных случаях, установленных законодательством РФ.
2.4.7. Организация вправе поручить обработку ПД Субъектов третьим лицам, в том числе следующим юридическим лицам:
Организация обрабатывает ПД, руководствуясь:
• Конституцией Российской Федерации;
• Гражданским кодексом Российской Федерации;
• Трудовым кодексом Российской Федерации;
• Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»;
• Федеральным законом от 06.04.2011 №63-ФЗ «Об электронной подписи»;
• Постановлением Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Уставом Организации;
• Положением о защите персональных данных работников при их обработке и хранении Организации;
• Настоящей Политикой;
• Договорами, заключаемыми между Организацией и субъектами ПД;
• Согласиями на обработку персональных данных субъектами ПД.
2.2. Принципы обработки персональных данных
Обработка ПД Организацией осуществляется на основании следующих принципов:
• законности и справедливости целей и способов обработки ПД;
• соответствия целей обработки ПД законным целям, заранее определенным и заявленным при сборе ПД;
• соответствия объема и содержания обрабатываемых ПД, способов обработки ПД целям обработки ПД;
• точности ПД, их достаточности для целей обработки, недопустимости обработки ПД, избыточных по отношению к целям, заявленным при сборе ПД;
• недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих ПД;
• хранения ПД в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, или ФЗ, договор, согласие, устанавливающие срок хранения ПД;
• уничтожения и обезличивания ПД по достижении целей их обработки, в случае утраты необходимости в достижении целей обработки или по окончании срока хранения ПД;
• обеспечения конфиденциальности и безопасности обрабатываемых ПД.
2.3. Цели обработки, субъекты, объём и категории обрабатываемых персональных данных
Организация обрабатывает ПД следующих субъектов:
2.3.1. Работников и бывших работников Организации, а также физических и юридических лиц, вступивших с Организацией в гражданско-правовые отношения на возмездной основе.
2.3.1.1. С целью осуществления возложенных на Организацию законодательством РФ функциональных обязанностей в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, Гражданским кодексом РФ, а также иными федеральными законами и подзаконными нормативными правовыми актами, а именно: начисления и выплаты заработной платы, заключения трудовых и иных договоров, ведения личных карточек, регистрации и обработки сведений о профессиональной служебной деятельности работников, предоставления сведений в Управление Пенсионного фонда, ИФНС, иные органы и учреждения в соответствии с законодательством РФ, регистрации обращений, принятия решения о трудоустройстве и формирования кадрового резерва, исчисления и уплаты, предусмотренных законодательством РФ налогов, сборов и взносов на обязательное социальное и пенсионное страхование, представления установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в Пенсионный фонд РФ, сведений подоходного налога в ФНС России, сведений в ФСС РФ, предоставления сведений в военный комиссариат для осуществления воинского учета, выдачи доступа к информационным системам Организации, контроля количества и качества выполняемой работы работниками Организации, обеспечения безопасности субъектов ПД, осуществления деятельности Организации в соответствии с Уставом Организации, отражение информации во внутренних базах данных Организации, соблюдения требований по охране труда; предоставления налоговых вычетов; контроля количества и качества выполняемой работы; обеспечения сохранности имущества Организации.
2.3.1.2. Следующие категории персональных данных:
• фамилия, имя, отчество;
• пол, возраст;
• дата и место рождения;
• реквизиты документа, удостоверяющего личность;
• идентификационный номер налогоплательщика, дата постановки его на учет, реквизиты свидетельства постановки на учет в налоговом органе;
• СНИЛС;
• адрес регистрации по месту жительства и адрес фактического проживания;
• данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации;
• почтовый и электронный адреса;
• номера телефонов (домашний, мобильный);
• банковские реквизиты;
• семейное положение, сведения о составе семьи, которые могут понадобиться Организации для предоставления льгот, предусмотренных трудовым и налоговым законодательством (только для работников Организации);
• отношение к воинской обязанности (только для работников Организации);
• сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;
• сведения об образовании, профессии, специальности и квалификации;
• сведения об имущественном положении, доходах, задолженности (только для работников Организации);
• информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности в ООО «АФОНИН КОНСАЛТИНГ», сведения об учете рабочего времени (только для работников Организации);
• фотографии и видеоматериалы, полученные Организацией при организации съемок с участием субъекта персональных данных;
• видеозаписи с камер видеонаблюдения;
• изображение, полученное при съемке, и опубликованное субъектом персональных данных лично;
• сведения, включенные в резюме (для кандидатов на замещение вакантных должностей в Организации);
• фотография;
• сведения документов, подтверждающих право на льготы, в том числе сведения об инвалидности (являются специальными категориями ПД);
• сведения о временной нетрудоспособности (являются специальными категориями ПД);
• состояние здоровья, сведения об инвалидности (являются специальными категориями ПД).
2.3.2. Клиентов (физических лиц), в том числе потенциальных, представителей клиентов (юридических лиц), в том числе потенциальных.
2.3.2.1. С целью осуществления возложенных на Организацию законодательством Российской Федерации функций в соответствии с Гражданским кодексом РФ, Налоговым кодексом РФ, а также иными федеральными законами, подзаконными нормативными правовыми актами; информирования о деятельности Организации, предлагаемых продуктах, направления уведомлений, информации и запросов, связанных с оказанием услуг; обработки запросов и заявок клиентов; осуществления рассылки информационно-рекламного характера, исполнение договорных обязательств, информирование посредством отправки электронных писем на адрес электронной почты и SMS-сообщений на телефонный номер, направление уведомлений о новых продуктах и услугах, специальных событиях; предоставление доступа к сервисам, информации и (или) материалам, содержащимся на интернет-сайте и его поддоменах; улучшения качества оказываемых услуг; публикации историй успеха и отзывов на сайте https://afonin-consulting.ru; продвижения услуг на рынке путем осуществления прямых контактов с клиентами; проведения статистических и иных исследований на основе обезличенных персональных данных; обеспечения безопасности субъектов ПД, сохранности имущества Организации и субъектов ПД, осуществления деятельности Организации в соответствии с Уставом Организации.
2.3.2.2. Следующие категории персональных данных:
• фамилия, имя, отчество;
• пол, возраст;
• дата и место рождения;
• реквизиты документа, удостоверяющего личность;
• идентификационный номер налогоплательщика, дата постановки его на учет, реквизиты свидетельства постановки на учет в налоговом органе;
• адрес регистрации по месту жительства и адрес фактического проживания;
• почтовый и электронный адреса;
• номера телефонов;
• фото Субъекта персональных; фотографии и видеоматериалы, полученные Оператором при организации съемок с участием Субъекта персональных данных;
• сведения об образовании, профессии, специальности и квалификации;
• сведения об имущественном положении, доходах, задолженности;
• сведения об основных характеристиках бизнеса: сфера деятельности, виды оказываемых услуг, выполняемых работ, способы масштабирования бизнеса, финансовые результаты; сведения любого характера (операционные, технические, экономические, организационные и другие), в том числе и сведения о бизнес-процессах (формализованных и неформализованных, то есть существующих фактически), результатах интеллектуальной деятельности, сведения о способах осуществления предпринимательской деятельности;
• сведения о способах осуществления предпринимательской деятельности, суммах выручки и чистой прибыли.
2.3.3. Контрагентов (физических лиц), в том числе потенциальных, представителей контрагентов (юридических лиц), в том числе потенциальных.
2.3.3.1. С целью осуществления возложенных на Организацию законодательством Российской Федерации функций в соответствии с Гражданским кодексом РФ, Налоговым кодексом РФ, а также иными федеральными законами, подзаконными нормативными правовыми актами; проявления должной осмотрительности при заключении сделок; заключения и исполнения обязательств по договорам, формирования базы контрагентов, заключения и выполнения обязательств по договорам гражданско-правового характера; осуществления деятельности Организации в соответствии с Уставом Организации.
2.3.3.2. Следующие категории персональных данных:
• фамилия, имя, отчество;
• пол, возраст;
• дата и место рождения;
• реквизиты документа, удостоверяющего личность;
• адрес места жительства (адрес проживания);
• СНИЛС;
• ИНН;
• электронная почта;
• номер телефона;
• банковские реквизиты.
2.3.4. Посетителей и пользователей интернет-сайтов Организации.
2.3.4.1. С целью направления уведомлений, информации и запросов, связанных с оказанием услуг, обработки запросов и заявок клиентов; осуществления рассылки информационно-рекламного характера, информирование посредством отправки электронных писем на адрес электронной почты и SMS-сообщений на телефонный номер о новых продуктах и услугах, специальных событиях; предоставление доступа к сервисам, информации и (или) материалам, содержащимся на интернет-сайте и его поддоменах; улучшения качества оказываемых услуг, продвижения услуг на рынке путем осуществления прямых контактов с клиентами; проведения статистических и иных исследований на основе обезличенных персональных данных; осуществления деятельности Организации в соответствии с Уставом Организации, обеспечения функционирования и улучшения качества сайтов Организации, смягчения рисков предотвращения возможного мошенничества, обеспечения безопасности при использовании сайтов Организации, хранения персональных предпочтений и настроек пользователей, ведения аналитики.
2.3.4.2. Следующие категории персональных данных:
• фамилия, имя, отчество (в случае заполнения формы обратной связи);
• электронная почта (в случае заполнения формы обратной связи);
• номер телефона (в случае заполнения формы обратной связи);
• cookie-файлы.
2.4. Порядок и условия обработки персональных данных
2.4.1. Обработка ПД Организацией осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения.
2.4.2. Организация осуществляет смешанную обработку ПД (производится как при помощи средств вычислительной техники, так и без них).
2.4.3. Автоматизированная обработка ПД осуществляется согласно требованиям и положениям настоящей Политики в части обработки ПД в информационных системах ПД Организации, а также требованиям законодательства РФ.
2.4.4. Обработка ПД без использования средств автоматизации осуществляется согласно внутренним директивам, инструкциям, нормативным документам и регламентам Организации.
2.4.5. В случае необходимости осуществления трансграничной передачи ПД Организация, перед совершением такой передачи, обязана убедиться в том, что иностранным государством, на территорию которого осуществляется передача ПД, обеспечивается адекватная защита прав субъектов ПД, а также отсутствия установленных законодательством запретов или ограничений на передачу ПД на территорию данного иностранного государства.
2.4.6. Трансграничная передача ПД на территорию иностранных государство, не обеспечивающих адекватной защиты прав субъектов ПД, может осуществляться Организацией в случаях:
- наличия согласия в письменной форме субъекта ПД;
- исполнения договора, стороной которого является субъект ПД;
- в иных случаях, установленных законодательством РФ.
2.4.7. Организация вправе поручить обработку ПД Субъектов третьим лицам, в том числе следующим юридическим лицам:
| Наименование | ИНН | Адрес | Цель | Субъекты |
|---|---|---|---|---|
| ООО «1С-Битрикс» | 7717586110 | 109544, г. Москва, б-р Энтузиастов, д. 2, 13 этаж, пом. 8-19 | Для организации единого информационного пространства работников Организации, для совместной автоматизации CRM-системы с использованием платформы «Битрикс24» | Все субъекты обрабатываемых ПД |
| ООО «Консоль.Про» | 7707418148 | 127055, г. Москва, ул. Палиха, дом 10, строение 5, эт/пом/ком 1/i/4 | Для организации ЭДО по договорам с физическими лицами, являющимися плательщиками налога на профессиональный доход, с использованием платформы «Консоль» | Контрагенты, являющиеся плательщиками налога на профессиональный доход |
| ООО «Инновации в управлении кадрами» | 7801683312 | 199397, г. Санкт-Петербург, вн.тер.г. муниципальный округ Остров декабристов, ул. Наличная, д. 44, к. 1, стр. 1, офис 805 | Для организации электронного кадрового документооборота с использованием платформы «HRLink» | Работники и бывшие работники Организации |
| АО «Тбанк» | 7710140679 | 127287, г. Москва, ул. Хуторская 2-я, д. 38А, стр. 26 | Для осуществления финансовых операций Организации, взаиморасчётов с юридическими и физическими лицами | Работники и бывшие работники Организации, Клиенты; контрагенты (физические лица) |
| АО «Тбанк» | 7710140679 | 127287, г. Москва, ул. Хуторская 2-я, д. 38А, стр. 26 | Для реализации получения субъектами персональных данных услуг / продуктов Банка, в том числе включающих: расчетно-кассовое обслуживание, торговый эквайринг, выдачу банковских гарантий | Работники и бывшие работники Организации, Клиенты; контрагенты (физические лица) |
| АО «ПФ «СКБ Контур» | 6663003127 | 620144, Свердловская обл., г. Екатеринбург, ул. Народной Воли, 19а | Для организации ЭДО с контрагентами Организации с использованием программы для ЭВМ «Контур.Диадок» | Представители контрагентов (юридических лиц) |
| ООО «Яндекс» | 7736207543 | 119021, г. Москва, ул. Льва Толстого, д. 16 | Для организации единой информационной системы Организации, хранения документов, используя форму «Яндекс. Облако» | Все субъекты обрабатываемых ПД |
| ООО «Бегет» | 7801451618 | 195112, г. Санкт-Петербург, пл. Карла Фаберже, д. 8 литер б, офис 726а | Для работы интернет-сайта Организации, сбора ПД через форму обратной связи, используя сервера Beget.com для размещения интернет-сайта | Посетители и пользователи интернет-сайта |
| ИП Афонин К.А. | | | Для организации единой информационной системы группы компаний; для осуществления рекламно-информационной рассылки | Все субъекты обрабатываемых ПД |
2.4.8. Лицо, осуществляющее обработку персональных данных по поручению Организации, соблюдает принципы и правила обработки персональных данных, предусмотренные настоящей Политикой. В поручении Организации определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, способы и цели обработки, установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указаны требования к защите обрабатываемых персональных данных.
2.4.9. При поручении обработки персональных данных другому лицу ответственность перед субъектом персональных данных за действия указанного лица несёт Организация. Лицо, осуществляющее обработку персональных данных по поручению Организации, несет ответственность перед Организацией.
2.4.10. Распространение ПД может осуществляться только после получения согласия на распространение ПД, оформленного отдельно от иных согласий субъекта ПД на обработку его ПД, в котором должен быть определен перечень ПД, разрешенных субъектом ПД для распространения.
2.4.11. Уточнение ПД осуществляется по запросам субъектов ПД, их законных представителей или в случае обращения уполномоченных органов.
2.4.12. Основанием для уничтожения ПД, обрабатываемых Организацией, является:
• достижение цели обработки ПД;
• прекращение необходимости в достижении цели обработки ПД;
• отзыв субъектом ПД для согласия на обработку ПД, за исключением случаев, когда обработка указанных ПД является обязательной в соответствии с законодательством РФ или договором, либо обработка может осуществляться без согласия субъекта ПД;
• выявление неправомерных действий с ПД и невозможность устранения допущенных нарушений в срок, не превышающий трех рабочих дней с даты такого выявления;
• истечение срока хранения ПД, установленного законодательством РФ, локальными нормативными актами Организации, договором, заключенным с субъектом ПД, согласием субъекта ПД;
• предписание Роскомнадзора или иного уполномоченного органа.
2.4.13. Уничтожение ПД, собранных и обрабатываемых Организацией для целей, указанных в п.2.3., пп.2.4.7. настоящей Политики, производится путем измельчения с использованием шредера (для уничтожения документов на бумажных носителях) и путем стирания или форматирования носителя (при уничтожении ПД, содержащихся на электронных носителях). Документальная фиксация уничтожения ПД осуществляется путем оформления соответствующего акта о прекращении обработки и уничтожении ПД.
2.4.14. Обрабатываемые ПД подлежат обезличиванию или уничтожению по достижении целей обработки или в случае прекращения необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.
2.4.15. Обезличивание ПД должно осуществляться следующими методами:
• введения идентификаторов, путем замена части сведений на идентификаторы, с созданием таблицы соответствия идентификаторов исходным данным;
• изменения состава или семантики ПД путем их замены результатами статистической обработки, преобразования, обобщения или удаления части сведений;
• декомпозиции, путем разделения множества (массива) данных на несколько подмножеств с последующим раздельным хранением подмножеств;
• перемешивания, путем перестановки отдельных значений или групп значений атрибутов данных в массиве данных.
2.4.16. При обработке ПД в информационных системах ПД с целью обеспечения безопасности ПД, при наличии технической возможности, Организация стремится:
• исключать фиксацию на одном материальном носителе ПД и иных видов информации, а также ПД, цели обработки которых заведомо несовместимы;
• для каждой категории ПД использовать отдельный материальный носитель.
2.4.17. Хранение ПД на материальных носителях в Организации осуществляется в специально отведенных и обособленных местах хранения (специальных шкафах или сейфах).
2.4.18. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность ПД и исключающие несанкционированный доступ к ним.
2.4.19. Сроки обработки и хранения ПД для всех целей, предусмотренных п.2.3., пп.2.4.7. настоящей Политики, определяются в соответствии с настоящей Политикой, сроками, указанными в согласиях на обработку ПД, договорами, заключенными с субъектами ПД, а также требованиями законодательства РФ.
2.4.20. Организация осуществляет хранение ПД в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, согласием субъекта ПД.
2.5. Основные меры по обеспечению безопасности персональных данных
2.5.1. В Организации принимаются следующим меры по обеспечению выполнения обязанностей, предусмотренных ФЗ «О персональных данных»:
• назначение ответственного за организацию обработки и защиты ПД;
• издание Организацией локальных нормативных актов по вопросам обработки ПД, а также локальных нормативных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
• осуществление внутреннего контроля и учета соответствия обработки ПД требованиям законодательства РФ, настоящей Политике, иным локальным нормативным актам Организации;
• применение правовых, организационных и технических мер по обеспечению безопасности ПД;
• оценка возможного вреда субъектам ПД, причиненного в случае нарушения требований ФЗ «О персональных данных», соотношение указанного вреда и принимаемых Организацией мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных»;
• ознакомление работников, непосредственно осуществляющих обработку ПД с положениями законодательства РФ о персональных данных, в том числе требованиями к защите ПД, настоящей Политикой, иными локальными нормативными актами Организации по вопросам обработки ПД.
2.5.2. Обеспечение безопасности ПД достигается:
• определением угроз безопасности ПД при их обработке в информационных системах Организации;
• применением организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах Организации, необходимых для выполнения требований к защите ПД, исполнение которых обеспечивает установленные уровни защищенности ПД;
• применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• оценкой эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационных систем Организации;
• обеспечением учета и сохранности носителей ПД;
• своевременным уничтожением и обезличиванием ПД;
• обнаружением фактов несанкционированного доступа к ПД и принятием соответствующих мер;
• восстановлением ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установлением правил доступа к ПД, обеспечением регистрации и учета всех действий, совершаемых с ПД в информационных системах Организации;
• контролем за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности информационных систем Организации;
• назначением ответственных за организацию обработки ПД;
• ознакомлением работников Организации, непосредственно осуществляющих обработку ПД, с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и (или) обучением указанных сотрудников.
2.4.9. При поручении обработки персональных данных другому лицу ответственность перед субъектом персональных данных за действия указанного лица несёт Организация. Лицо, осуществляющее обработку персональных данных по поручению Организации, несет ответственность перед Организацией.
2.4.10. Распространение ПД может осуществляться только после получения согласия на распространение ПД, оформленного отдельно от иных согласий субъекта ПД на обработку его ПД, в котором должен быть определен перечень ПД, разрешенных субъектом ПД для распространения.
2.4.11. Уточнение ПД осуществляется по запросам субъектов ПД, их законных представителей или в случае обращения уполномоченных органов.
2.4.12. Основанием для уничтожения ПД, обрабатываемых Организацией, является:
• достижение цели обработки ПД;
• прекращение необходимости в достижении цели обработки ПД;
• отзыв субъектом ПД для согласия на обработку ПД, за исключением случаев, когда обработка указанных ПД является обязательной в соответствии с законодательством РФ или договором, либо обработка может осуществляться без согласия субъекта ПД;
• выявление неправомерных действий с ПД и невозможность устранения допущенных нарушений в срок, не превышающий трех рабочих дней с даты такого выявления;
• истечение срока хранения ПД, установленного законодательством РФ, локальными нормативными актами Организации, договором, заключенным с субъектом ПД, согласием субъекта ПД;
• предписание Роскомнадзора или иного уполномоченного органа.
2.4.13. Уничтожение ПД, собранных и обрабатываемых Организацией для целей, указанных в п.2.3., пп.2.4.7. настоящей Политики, производится путем измельчения с использованием шредера (для уничтожения документов на бумажных носителях) и путем стирания или форматирования носителя (при уничтожении ПД, содержащихся на электронных носителях). Документальная фиксация уничтожения ПД осуществляется путем оформления соответствующего акта о прекращении обработки и уничтожении ПД.
2.4.14. Обрабатываемые ПД подлежат обезличиванию или уничтожению по достижении целей обработки или в случае прекращения необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.
2.4.15. Обезличивание ПД должно осуществляться следующими методами:
• введения идентификаторов, путем замена части сведений на идентификаторы, с созданием таблицы соответствия идентификаторов исходным данным;
• изменения состава или семантики ПД путем их замены результатами статистической обработки, преобразования, обобщения или удаления части сведений;
• декомпозиции, путем разделения множества (массива) данных на несколько подмножеств с последующим раздельным хранением подмножеств;
• перемешивания, путем перестановки отдельных значений или групп значений атрибутов данных в массиве данных.
2.4.16. При обработке ПД в информационных системах ПД с целью обеспечения безопасности ПД, при наличии технической возможности, Организация стремится:
• исключать фиксацию на одном материальном носителе ПД и иных видов информации, а также ПД, цели обработки которых заведомо несовместимы;
• для каждой категории ПД использовать отдельный материальный носитель.
2.4.17. Хранение ПД на материальных носителях в Организации осуществляется в специально отведенных и обособленных местах хранения (специальных шкафах или сейфах).
2.4.18. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность ПД и исключающие несанкционированный доступ к ним.
2.4.19. Сроки обработки и хранения ПД для всех целей, предусмотренных п.2.3., пп.2.4.7. настоящей Политики, определяются в соответствии с настоящей Политикой, сроками, указанными в согласиях на обработку ПД, договорами, заключенными с субъектами ПД, а также требованиями законодательства РФ.
2.4.20. Организация осуществляет хранение ПД в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, согласием субъекта ПД.
2.5. Основные меры по обеспечению безопасности персональных данных
2.5.1. В Организации принимаются следующим меры по обеспечению выполнения обязанностей, предусмотренных ФЗ «О персональных данных»:
• назначение ответственного за организацию обработки и защиты ПД;
• издание Организацией локальных нормативных актов по вопросам обработки ПД, а также локальных нормативных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
• осуществление внутреннего контроля и учета соответствия обработки ПД требованиям законодательства РФ, настоящей Политике, иным локальным нормативным актам Организации;
• применение правовых, организационных и технических мер по обеспечению безопасности ПД;
• оценка возможного вреда субъектам ПД, причиненного в случае нарушения требований ФЗ «О персональных данных», соотношение указанного вреда и принимаемых Организацией мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных»;
• ознакомление работников, непосредственно осуществляющих обработку ПД с положениями законодательства РФ о персональных данных, в том числе требованиями к защите ПД, настоящей Политикой, иными локальными нормативными актами Организации по вопросам обработки ПД.
2.5.2. Обеспечение безопасности ПД достигается:
• определением угроз безопасности ПД при их обработке в информационных системах Организации;
• применением организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах Организации, необходимых для выполнения требований к защите ПД, исполнение которых обеспечивает установленные уровни защищенности ПД;
• применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• оценкой эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационных систем Организации;
• обеспечением учета и сохранности носителей ПД;
• своевременным уничтожением и обезличиванием ПД;
• обнаружением фактов несанкционированного доступа к ПД и принятием соответствующих мер;
• восстановлением ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установлением правил доступа к ПД, обеспечением регистрации и учета всех действий, совершаемых с ПД в информационных системах Организации;
• контролем за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности информационных систем Организации;
• назначением ответственных за организацию обработки ПД;
• ознакомлением работников Организации, непосредственно осуществляющих обработку ПД, с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и (или) обучением указанных сотрудников.
3. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
3.1 Работники Организации, виновные в нарушении норм, регулирующих обработку и защиту ПД, установленных в Организации, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в соответствии с законодательством Российской Федераци.
3.2 В случае изменений законодательства и иных нормативных правовых актов Российской Федерации, а также Устава Организации, настоящая Политика, а также изменений к нему, применяются в части, не противоречащей вновь принятым актам.
3.3 Субъект ПД может получить любые разъяснения по интересующим вопросам, касающимся обработки его ПД, обратившись к Организации с помощью электронной почты afonin.consulting@gmail.com, либо направив письмо на юридический адрес Организации. Субъект ПД всегда может отказаться от получения информационных сообщений, нажав на ссылку «отписаться», которая содержится в любом информационном сообщении, либо направив Организации уведомление на адрес электронной почты afonin.consulting@gmail.com с пометкой «Отказ от уведомлений о новых продуктах, услугах и специальных предложениях».
3.4 Организация вправе вносить изменения в настоящую Политику. Уведомление Субъектов ПД производится путем публикации обновленной редакции Политики на сайте Организации. Изменения вступают в силу со дня их опубликования. Продолжая использование сайта Организации, Субъект ПД выражает согласие с условиями действующей редакции Политики. В случае несогласия со внесенными изменениями, Субъект ПД имеет право отозвать предоставленные ранее согласия, либо направить Организации уведомление о несогласии с изменениями Политики.
3.2 В случае изменений законодательства и иных нормативных правовых актов Российской Федерации, а также Устава Организации, настоящая Политика, а также изменений к нему, применяются в части, не противоречащей вновь принятым актам.
3.3 Субъект ПД может получить любые разъяснения по интересующим вопросам, касающимся обработки его ПД, обратившись к Организации с помощью электронной почты afonin.consulting@gmail.com, либо направив письмо на юридический адрес Организации. Субъект ПД всегда может отказаться от получения информационных сообщений, нажав на ссылку «отписаться», которая содержится в любом информационном сообщении, либо направив Организации уведомление на адрес электронной почты afonin.consulting@gmail.com с пометкой «Отказ от уведомлений о новых продуктах, услугах и специальных предложениях».
3.4 Организация вправе вносить изменения в настоящую Политику. Уведомление Субъектов ПД производится путем публикации обновленной редакции Политики на сайте Организации. Изменения вступают в силу со дня их опубликования. Продолжая использование сайта Организации, Субъект ПД выражает согласие с условиями действующей редакции Политики. В случае несогласия со внесенными изменениями, Субъект ПД имеет право отозвать предоставленные ранее согласия, либо направить Организации уведомление о несогласии с изменениями Политики.
© 2024 Afonin Consulting.
Все права защищены
Все права защищены
125430, г.Москва, Пятницкое шоссе, д.37, кв.129
ООО "АФОНИН КОНСАЛТИНГ"
ОГРН: 1227700047035
ИНН: 7720860637
КПП: 772001001
ОГРН: 1227700047035
ИНН: 7720860637
КПП: 772001001
Подписывайтесь на наши соцсети, чтобы получать полезный контент по продажам бесплатно!
Подпишитесь на нашу рассылку полезных материалов