Политика в отношении обработки персональных данных

Содержание

Политика в отношении обработки персональных данных

Политика обработки персональных данных

ПОЛИТИКА

обработки персональных данных

Управления Роскомнадзора по Республике Башкортостан

1. Общие положения

1.1. Настоящая Политика Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Башкортостан (далее – Оператор, Управление) в отношении обработки персональных данных физических лиц (далее – Политика) разработана в соответствии со ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и требованиями постановления Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер,направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

1.2. Политика определяет:

— основные вопросы, связанные с обработкой персональных данных Оператором с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе, и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным;

— принципы, порядок и условия обработки персональных данных работников Оператора и иных лиц, чьи персональные данные обрабатываются Оператором, а также устанавливает ответственность должностных лиц Оператора, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.3 Целью настоящей Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

2. Основные понятия

2.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2.2. Оператор –государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

2.3. Обработка персональных данных –любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2.4. Автоматизированная обработка персональных данных –обработка персональных данных с помощью средств вычислительной техники;

2.5. Распространение персональных данных –действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

2.6. Предоставление персональных данных –действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

2.7. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

2.8. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

2.9. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

2.10. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

3. Цели обработки персональных данных

3.1. Обработка персональных данных осуществляется в следующих целях:

— осуществления в установленном порядке государственного контроля и надзора за деятельностью юридических лиц, индивидуальных предпринимателей и физических лиц по выполнению требований законодательства Российской Федерации в установленной сфере деятельности:

за соблюдением законодательства Российской Федерации в сфере массовой информации и массовых коммуникаций, телевизионного вещания, радиовещания;

за соблюдением законодательства Российской Федерации в области связи; в сфере информационных технологий;

за соблюдением законодательства об авторском праве и смежных правах в установленной сфере деятельности;

за соблюдением законодательства об архивном деле в Российской Федерации, в том числе совместно с органами государственной власти субъектов Российской Федерации;

обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

— своевременного и полного рассмотрения устных и письменных обращений граждан;

— ведения кадрового и бухгалтерского учета, документирования трудовых отношений, регистрации персональных данных государственных гражданских служащих, обслуживающего персонала Управления, сведений об их профессиональной служебной деятельности; содействие работнику в трудоустройстве, обучении, продвижении по службе; обеспечения личной безопасности работника; оплаты труда; пользования различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, другими федеральными законами, предоставление справок с места работы, а также для регистрации сведений, необходимых для рассмотрения дел об административных правонарушениях;

— размещения персональных данных государственных инспекторов Управления Роскомнадзора по Республике Башкортостан в Едином реестре проверок.

4. Правовые основания обработки персональных данных

Правовым основанием обработки персональных данных Управлением являются:

Трудовой кодекс Российской Федерации, Гражданский кодекс Российской Федерации, Кодекс Российской Федерации об административных правонарушениях, Налоговый кодекс Российской Федерации, Федеральный законот 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», Федеральный закон от 27.07.2004 № 79-ФЗ «О государственной гражданской службе Российской Федерации», Федеральный закон от 07.07.2003 № 126-ФЗ «О связи», Федеральный закон от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», Федеральный закон от 28.03.1998 № 53-Ф3 «О воинской обязанности и военной службе»; Закон от 27.12.1991 № 2124-1 «О средствах массовой информации», Постановление Правительства Российской Федерации от 28.04.2015 № 415 «О Правилах формирования и ведения единого реестра проверок», Положение об Управлении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Башкортостан, утвержденного приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 25.01.2016 № 24, Согласие субъекта персональных данных на обработку персональных данных.

5. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Управление осуществляет обработку следующих категорий персональных данных:

фамилия, имя, отчество, год, месяц, дата, место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы,паспортные данные, данные страхового полиса обязательного медицинского страхования, данные страхового свидетельства обязательного пенсионного страхования, сведения о номере и серии страхового свидетельства государственного пенсионного страхования; сведения об идентификационном номере налогоплательщика; медицинские заключения о состоянии здоровья, сведения о временной нетрудоспособности;подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; сведения о воинском учете, фамилия, имя, отчество и даты рождения других членов семьи, иждивенцев, сведения о социальных льготах и о социальном статусе (основания для представления льгот и статуса); сведения о семейном положении и составе семьи работника, сведения о доходах, расходах супруга, супруги, несовершеннолетнего ребенка, занимаемая должность;сведения о заработной плате; адрес места жительства; домашний телефон; степени родства, место работы или учебы членов семьи и родственников; содержание и реквизиты трудового договора и служебного контракта; сведения о номере, серии и дате выдачи трудовой книжки, основания к приказам по личному составу; дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным проверкам; копии отчетов, направляемые в органы статистики; а также дополнительные сведения, предусмотренные условиями договора, письменным согласием субъекта персональных данных и требованиями федеральных законов, определяющих случаи и особенности обработки персональных данных: фото, сведения о судимости (об отсутствии судимости), реквизиты свидетельств о регистрации актов гражданского состояния (брак, развод, свидетельство о рождении, свидетельство о смерти), номер и серия водительского удостоверения, номера расчетных счетов и банковских карт, информация об имуществе иобязательствах имущественного характера, адрес электронной почты; номера контактных телефонов;

принадлежащих физическим лицам (субъектам персональных данных, их законным представителям): физическим лицам, являющимся государственными гражданскими служащими и работниками Управления; физическим лицам, состоящим в родстве (свойстве) с государственными гражданскими служащими и работниками; уволенным государственным гражданским служащим и работникам; физическим лицам, участвующим в конкурсе на замещение вакантных должностей (формирование кадрового резерва) государственной гражданской службы; физическим лицам, замещающим должность государственной гражданской службы, предусмотренную перечнем должностей государственной гражданской службы, по которым предусматривается ротация,

а также фамилия, имя, отчество, год, месяц, дата, место рождения, адрес, паспортные данные, сведения об идентификационном номере налогоплательщика; адрес места жительства; контактный телефон, адрес электронной почты, а также дополнительные сведения, предусмотренные условиями договора, письменным согласие субъекта персональных данных и требованиями федеральных законов, определяющих случаи и особенности обработки персональных данных,

принадлежащих физическим лицам (субъектам персональных данных, их законным представителям): физическим лицам, направившим в Управление для рассмотрения обращения (жалобы, заявления, предложения), владельцам РЭС и ВЧУ; физическим лицам, в отношении которых ведется производство по делу об административных правонарушениях в пределах компетенции Управления; операторы в сфере массовых коммуникаций и связи; учредители СМИ; операторы (руководители и (или) их законные представители), представившие уведомление об обработке персональных данных – физическим лицам и индивидуальным предпринимателям.

6. Порядок и условия обработки персональных данных

6.1. Порядок обработки персональных данных.

Управлением осуществляется смешанная обработка персональных данных, с передачей по внутренней сети, с передачейпо сети общего пользования Интернет.

Операции с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных

Обработка персональных данных осуществляется Управлением на основании следующих принципов:

— законности и справедливости целей и способов обработки персональных данных;

— соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора;

— соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

— достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

— недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные; хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;

— уничтожения либо обезличивания по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.

6.2. Условия обработки персональных данных:

— обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных настоящей Политикой;

— обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

— обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

— обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставлениягосударственных и муниципальных услуг», для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;

— осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

— осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом Российской Федерации.

6.3. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом Российской Федерации.

6.4. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

6.5. Хранение персональных данных субъектов персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки в соответствии со сроками хранения, определяемыми законодательством Российской Федерации и нормативными документами Управления:

— персональные данные, содержащиеся в приказах по личному составу Управления (о приеме, о переводе, об увольнении, об установлении надбавок), подлежат хранению в кадровом подразделении Управления в течение двух лет, с последующим формированием и передачей указанных документов в архив Управления или государственный архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 75 лет;

— персональные данные, содержащиеся в личных делах государственных служащих и работников Управления, хранятся в кадровом подразделении Управления в течение десяти лет, с последующим формированием и передачей указанных документов в архив Управления или государственный архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 75 лет;

— персональные данные, содержащиеся в приказах о поощрениях, материальной помощи государственных служащих Управления, подлежат хранению в течение двух лет в кадровом подразделении Управления с последующим формированием и передачей указанных документов в архив Управления или государственный архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 75 лет;

— персональные данные, содержащиеся в приказах о предоставлении отпусков, о краткосрочных командировках, о дисциплинарных взысканиях государственных служащих Управления, подлежат хранению в кадровом подразделении Управления в течение пяти лет с последующим уничтожением;

— персональные данные, содержащиеся в документах претендентов на замещение вакантной должности государственной службы в Управлении, не допущенных к участию в конкурсе, и кандидатов, участвовавших в конкурсе, хранятся в кадровом подразделении Управления в течение 3 лет со дня завершения конкурса, после чего подлежат уничтожению;

— сроки обработки и хранения персональных данных, предоставляемых субъектами персональных данных в Управление в связи с получением государственных услуг и исполнением государственных функций, определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки;

— персональные данные граждан, обратившихся в Управление лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет;

— персональные данные, предоставляемые субъектами на бумажном носителе в связи с предоставлением Управлением государственных услуг и исполнением государственных функций, хранятся на бумажных носителях в структурных подразделениях Управления, к полномочиям которых относится обработка персональных данных в связи с предоставлением государственной услуги или исполнением государственной функции, в соответствии с утвержденными положениями о соответствующих структурных подразделениях Управления;

— персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков);

— срок хранения персональных данных, внесенных в информационные системы персональных данных соответствует сроку хранения бумажных оригиналов.

Обеспечивается раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящей Политикой.

Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.

6.7. При обработке персональных данных Управление принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

6.8. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя Управление осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Управления) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу Управление осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Управления) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

6.9. В случае подтверждения факта неточности персональных данных Управление на основании сведений, представленных субъектом персональных данных или его представителем или иных необходимых документов обязано уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Управления) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

6.10. В случае выявления неправомерной обработки персональных данных, осуществляемой Управлением или лицом, действующим по поручению Управления, Управление в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных или обеспечивает прекращение неправомерной обработки персональных данных лицом, действующим по поручению Управления. В случае, если обеспечить правомерность обработки персональных данных невозможно, Управление в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Управление уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

6.11. В случае достижения цели обработки персональных данных Управление прекращает обработку персональных данных или обеспечивает ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Управления) и уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Управления) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Управлением и субъектом персональных данных, либо если Управление не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

6.12. Сотрудники Управления, виновные в нарушении требований Федерального закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном законодательством Российской Федерации.

6.13. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом «О персональных данных», а также требований к защите персональных данных, установленных в соответствии с Федеральным законом «О персональных данных», подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

7. Права и обязанности оператора

7.1. Оператор вправе:

— отстаивать свои интересы в судебных органах;

— предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством Российской Федерации (правоохранительные, налоговые органы и др.);

— отказывать в предоставлении персональных данных в случаях предусмотренных законодательством Российской Федерации;

— использовать персональные данные субъекта без его согласия, в случаях предусмотренных законодательством Российской Федерации.

7.2. Обязанности Оператора:

— принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных ст. 18.1 и ст. 19 Федерального закона «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, Постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

— обеспечиваться конфиденциальность в отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности.

— в случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя Управление осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Управления) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу Управление осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Управления) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

— в случае подтверждения факта неточности персональных данных Управление на основании сведений, представленных субъектом персональных данных или его представителем или иных необходимых документов обязано уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Управления) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

— в случае выявления неправомерной обработки персональных данных, осуществляемой Управлением или лицом, действующим по поручению Управления, Управление в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных или обеспечивает прекращение неправомерной обработки персональных данных лицом, действующим по поручению Управления. В случае, если обеспечить правомерность обработки персональных данных невозможно, Управление в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Управление уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

— в случае достижения цели обработки персональных данных Управление прекращает обработку персональных данных или обеспечивает ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Управления) и уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Управления) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Управлением и субъектом персональных данных, либо если Управление не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

8. Ответственность за нарушение требований законодательства в области персональных данных

8.1. Сотрудники Управления, виновные в нарушении требований Федерального закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном законодательством Российской Федерации.

8.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом «О персональных данных», а также требований к защите персональных данных, установленных в соответствии с Федеральным законом «О персональных данных», подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

9. Заключительные положения

9.1. Настоящая Политика является внутренним документом Оператора, является общедоступной и подлежит размещению на официальном сайте Оператора;

9.2. Политика подлежит изменению, дополнению в случае появления новых законодательных актов Российской Федерации и специальных нормативных документов по обработке и защите персональных данных.

Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных Оператора.

Время публикации: 11.11.2015 14:30
Последнее изменение: 07.11.2019 18:18

Политика обработки персональных данных

1.1. Настоящий документ (далее — Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты прав субъектов персональных данных в Группе компаний СКБ Контур (далее — СКБ Контур, Группа компаний).

1.2. Политика распространяется на следующие юридические лица (далее — Общества), входящие в СКБ Контур:

  • Акционерное общество «ПФ «СКБ Контур»;
  • Общество с ограниченной ответственностью «ТК Контур»;
  • Общество с ограниченной ответственностью «Сертум-Про»;
  • Общество с ограниченной ответственностью «Контур НТТ»;
  • Закрытое акционерное общество «ТаксНет»;
  • Общество с ограниченной ответственностью «УК «Офис-сервис»;
  • Автономная некоммерческая организация ДПО «Учебный центр СКБ Контур»;
  • Общество с ограниченной ответственностью «Контур Инновации»;
  • Общество с ограниченной ответственностью «Аргос СПБ»;
  • Общество с ограниченной ответственностью «УралФинИнвест»;
  • Благотворительный фонд «СКБ Контур»;
  • Общество с ограниченной ответственностью «Служба заказчика Контур-Парк»;
  • Общество с ограниченной ответственностью «РСЦ Инфо-Бухгалтер»;
  • Общество с ограниченной ответственностью «Контур-Парк»;
  • Общество с ограниченной ответственностью «ЦИБ-Сервис»;
  • Общество с ограниченной ответственностью «Контур Факторинг»;
  • Общество с ограниченной ответственностью «Система бизнес коммуникаций»;
  • Общество с ограниченной ответственностью «Бизнес-Софт Санкт-Петербург».

1.3. Политика распространяется на весь персонал СКБ Контур (включая работников по трудовым договорам и лиц, заключивших иные договоры с Обществами) и все структурные подразделения Обществ.

1.4. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессах обработки СКБ Контур персональных данных, например, в случаях передачи в установленном порядке со стороны СКБ Контур персональных данных подрядчикам, партнерам и иным контрагентам на основании поручений на обработку персональных данных, иных соглашений и договоров.

2. Соответствие применимому законодательству

2.1. Политика разработана преимущественно на основе законодательства Российской Федерации в виду регистрации Обществ СКБ Контур на территории Российской Федерации. В Политике используются термины и определения в соответствии с их значениями, как они определены в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ). СКБ Контур обрабатывает персональные данные с учетом требований самого 152-ФЗ, его подзаконных актов и нормативнометодических документов государственных органов Российской Федерации, уполномоченных в сфере информационной безопасности и защиты прав субъектов персональных данных.

2.2. В Политике по возможности также учитываются положения иного применимого к деятельности СКБ Контур законодательства в области обработки персональных данных, например, европейского Общего регламента о защите персональных данных (далее — GDPR), или местного законодательства отдельных стран в части, не противоречащей 152-ФЗ.

2.3. В отдельных случаях обработки персональных данных для разрешения возможных противоречий между различными законодательствами отдельных государств порядок и принципы обработки персональных данных в СКБ Контур могут дополнительно к Политике регулироваться и детализироваться в специальных разделах документов СКБ Контур (например, договоров, соглашений), относящихся к таким отдельным случаям и выполняющих для таких случаев роль соглашений об обработке данных (Data Processing Agreement, далее — DPA) в терминологии GDPR.

2.4. Общества СКБ Контур, осуществляющие деятельность по обработке персональных данных граждан Российской Федерации, каждое по отдельности регистрируются в реестре Уполномоченного органа Российской Федерации по защите прав субъектов персональных данных (далее — Роскомнадзор) в качестве операторов персональных данных. Информацию об операторах любое лицо может получить через интернет, осуществив поиск в реестре по адресу https://pd.rkn.gov.ru/operators-registry/operators-list/. В реестре указываются предусмотренные законодательством Российской Федерации сведения об операторе применительно к соответствующему Обществу, в том числе:

2.4.1. полное наименование и местонахождение оператора персональных данных;
2.4.2. сведения о лицах, ответственных за организацию обработки персональных данных;
2.4.3. контактная информация для обращений;
2.4.4. сведения о местах расположения баз данных информационных систем персональных данных;
2.4.5. сведения об обработке персональных данных и мерах по обеспечению безопасности;
2.4.6. сведения об осуществлении трансграничной передачи персональных данных;
2.4.7. иные предусмотренные 152-ФЗ сведения об операторах персональных данных.

3. Принципы обработки персональных данных

3.1. Обработка персональных данных осуществляется СКБ Контур на законной и справедливой основе, основными правовыми основания для обработки являются:

3.1.1. Конституция Российской Федерации;
3.1.2. Трудовой кодекс Российской Федерации;
3.1.3. Гражданский кодекс Российской Федерации;
3.1.4. Налоговый кодекс Российской Федерации;
3.1.5. Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
3.1.6. Федеральный закон от 07.07.2003 № 126-ФЗ «О связи»;
3.1.7. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
3.1.8. Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности»;
3.1.9. Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
3.1.10. Федеральный закон от 04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
3.1.11. Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в РФ»;
3.1.12. Федеральный закон от 19.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;
3.1.13. Федеральный закон от 22.05.2003 № 54-ФЗ «О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием электронных средств платежа;
3.1.14. Федеральный закон от 12.01.1996 № 7-ФЗ «О некоммерческих организациях»;
3.1.15. Федеральный закон от 26.12.1995 № 208-ФЗ «Об акционерных обществах»;
3.1.16. Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;
3.1.17. Закон РФ от 27.12.1991 № 2124-1 «О средствах массовой информации»;
3.1.18. Регламент удостоверяющего центра АО «ПФ «СКБ Контур»;
3.1.19. Регламент удостоверяющего центра ООО «Сертум-Про»;
3.1.20. Регламент удостоверяющего центра ООО «ЦИБ-Сервис»;
3.1.21. Регламент площадки электронного факторинга ООО «Контур Факторинг»;
3.1.22. Уставы Обществ;
3.1.23. Договоры и соглашения Обществ;
3.1.24. Согласия субъектов персональных данных.

3.2. Содержание и объем обрабатываемых персональных данных определяются исходя из целей обработки. Не обрабатываются персональные данные, избыточные или несовместимые по отношению к следующим основным целям:

3.2.1. заключение трудовых отношений с физическими лицами, подбор персонала;
3.2.2. заключение, продление договорных отношений Обществ;
3.2.3. идентификация сторон договоров, соглашений, сделок Обществ;
3.2.4. выполнение договорных обязательств Обществ, включая оказание услуг, выполнение работ, предоставление прав на использование программных продуктов СКБ Контур, поставку товаров;
3.2.5. использование юридическими и физическими лицами веб-сайтов и иных информационных ресурсов Обществ в соответствии с их правилами пользования, лицензионными договорами;
3.2.6. регистрация, идентификация и персонализация пользователей сайтов, приложений и иных информационных ресурсов Обществ; предоставление доступа к ресурсам и функциям, доступным только для зарегистрированных пользователей; повышение удобства работы пользователей, улучшение программных продуктов, повышения качества оказываемых услуг и выполняемых работ СКБ Контур;
3.2.7. осуществление связи с физическими и юридическими лицами для направления им уведомлений, ответов на запросы, рассылок и информационных сообщений, а также сообщений маркетингового характера для продвижения программных продуктов, товаров, работ и услуг СКБ Контур и партнерских организаций;
3.2.8. осуществление деятельности удостоверяющего центра в соответствии с законодательством Российской Федерации об электронной подписи;
3.2.9. осуществление деятельности оператора фискальных данных в соответствии с законодательством Российской Федерации о фискальных данных;
3.2.10. осуществление деятельности операторов электронного документооборота в соответствии с законодательством Российской Федерации, нормативными документами государственных органов Российской Федерации;
3.2.11. осуществление деятельности по предоставлению дополнительного образования;
3.2.12. осуществление деятельности средства массовой информации в соответствии с законодательством Российской Федерации;
3.2.13. участие физических лиц в реферальных, бонусных программах, программах лояльности СКБ Контур и партнерских организаций;
3.2.14. защита законных интересов Обществ, их партнеров и клиентов; противодействие незаконным или несанкционированным действиям, мошенничеству при использовании клиентами и пользователями программных продуктов, товаров, работ и услуг СКБ Контур, обеспечение информационной безопасности;
3.2.15. организация пропускного режима на территории зданий и офисов СКБ Контур, обеспечение сохранности имущества и безопасности персонала и посетителей Обществ;
3.2.16. организация конференций, семинаров, вебинаров, иных публичных мероприятий в интересах СКБ Контур, партнерских организаций, профессиональных сообществ;
3.2.17. прохождение физическими лицами стажировок, практик в Обществах, обучения в партнерских образовательных учреждениях;
3.2.18. предоставление социального пакета, материальной помощи, компенсаций и льгот сотрудникам Обществ;
3.2.19. проведение исследований по тематике деятельности Обществ, использования программных продуктов, товаров, работ и услуг СКБ Контур для разработки новых программных продуктов, расширения спектра оказываемых услуг, выполняемых работ, товаров, контроля качества;
3.2.20. сбор, обработка аналитических и статистических данных по тематике деятельности СКБ Контур, использования информационных ресурсов, программных продуктов, товаров, работ и услуг СКБ Контур;
3.2.21. соблюдение действующего трудового, бухгалтерского, пенсионного, иного законодательства Российской Федерации;
3.2.22. соблюдение иного применимого к деятельности СКБ Контур законодательства, в том числе, международного или местного законодательства стран, в отношении граждан которых СКБ Контур или отдельные Общества ведут деятельность.

3.3. К основным категориям субъектов персональных данных, чьи данные обрабатываются в СКБ Контур, относятся:

3.3.1. посетители и пользователи сайтов, приложений и информационных ресурсов СКБ Контур;
3.3.2. физические лица, состоящие или состоявшие в трудовых и гражданско-правовых отношениях с Обществами СКБ Контур, их ближайшие родственники, рекомендатели, а также лица, имеющие намерения вступить в такие отношения, например, кандидаты на замещение вакантных должностей;
3.3.3. физические лица, состоящие или состоявшие в трудовых и гражданско-правовых отношениях с контрагентами Обществ СКБ Контур, а также лица, имеющие намерения вступить в такие отношения;
3.3.4. физические лица, проходящие в СКБ Контур стажировки, практики от учебных заведений;
3.3.5. физические лица, указанные в различных государственных реестрах, базах данных, общедоступных и иных источниках, которые получены законным способом и используются при оказании услуг и в продуктах СКБ Контур в качестве источников данных;
3.3.6. физические лица, обратившиеся в СКБ Контур с запросами, сообщениями, заявлениями, жалобами, предложениями с использованием контактной информации или средств сбора обратной связи;
3.3.7. физические лица, участвующие в интервью, опросах, аналитических и маркетинговых исследованиях по тематике деятельности Обществ;
3.3.8. участники мероприятий, организованных СКБ Контур или организациями партнерами;
3.3.9. посетители офисов СКБ Контур;
3.3.10. акционеры и учредители Обществ.

3.4. Для указанных категорий субъектов могут обрабатываться в соответствии с целями обработки:

3.4.1. личная информация (фамилия, имя, отчество, в том числе, прежние; пол; год, месяц, дата рождения; возраст; место рождения, национальность, гражданство);
3.4.2. контактная информация (почтовый адрес, номера телефонов, адреса электронной почты, псевдонимы, идентификаторы в социальных сетях и сервисах коммуникаций); адреса регистрации и фактического проживания;
3.4.3. сведения о документах, удостоверяющих личность; водительском удостоверении; сведения о идентификационных номерах субъекта в государственных системах учета (например, ИНН, СНИЛС и др.); сведения о полисах обязательного и добровольного медицинского страхования;
3.4.4. профессиональная деятельность (место работы; должность; структурное подразделение; табельный номер; стаж; участие в юридических лицах; полномочия);
3.4.5. навыки и квалификация (полученное образование; профессия; присвоенные специальности; владение иностранными языками; пройденные обучающие курсы, стажировки и практики);
3.4.6. сведения о семье (семейное положение; состав семьи; законные представители, ближайшие родственники);
3.4.7. социальное положение; имущественное положение; сведения о транспортных средствах;
3.4.8. сведения о договорах и соглашениях, их статусах; сведения о участии в партнерских и бонусных программах; реферальные промокоды; сведения об используемых продуктах и услугах;
3.4.9. рекомендации и отзывы; сведения об оценке персонала;
3.4.10. финансовое состояние; платежные реквизиты; доходы; сведения о налоговых и иных отчислениях в государственные фонды; сведения о начислениях и удержаниях денежных средств, вознаграждений в иной форме; сведения о совершенных покупках, заказах товаров и услуг; сведения о платежах;
3.4.11. сведения о присутствии в отдельных государственных реестрах, базах данных и перечнях;
3.4.12. сведения о воинском учете; сведения о миграционном учете;
3.4.13. фото- и видеоизображение; речевая информация (запись голоса);
3.4.14. электронные пользовательские данные (идентификаторы пользователя, сетевые адреса, файлы cookies, идентификаторы устройств, размеры и разрешение экрана, сведения об аппаратном и программном обеспечении, например, браузерах, операционной системе, установленных приложениях, геолокация, языковые настройки, часовой пояс, время и статистика использования приложений и информационных ресурсов СКБ Контур, действия пользователей в сервисах, источники переходов на веб-страницы, отправленные поисковые и иные запросы, созданный пользователем контент); сертификаты электронной подписи;
3.4.15. увлечения и хобби; личные интересы; вкусы и предпочтения; подписки на рассылки;
3.4.16. состояние здоровья; сведения об инвалидности, о нетрудоспособности;
3.4.17. сведения о поощрениях, наградах, взысканиях и привлечении к ответственности;
3.4.18. иные сведения, предусмотренные типовыми формами, установленным порядком и целями обработки.

3.5. Обработка персональных данных в СКБ Контур ведется смешанным способом: с использованием средств автоматизации и без.

3.6. Действия с персональными данными включают: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (распространение, предоставление, доступ); обезличивание; блокирование; удаление, уничтожение.

3.7. При обработке обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. При обнаружении неточных или неполных персональных данных может производиться их уточнение и актуализация. В случаях, когда актуализация персональных данных находится вне зоны ответственности СКБ Контур, обработка может быть приостановлена до момента актуализации. Обязанности и ответственность за своевременную актуализацию персональных данных для отдельных случаев обработки могут устанавливаться соглашениями или локальными актами СКБ Контур.

3.8. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или соглашением с субъектом персональных данных не установлен соответствующий срок хранения.

3.9. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующий условий:

3.9.1. достижение целей обработки персональных данных или максимальных сроков хранения — подлежит уничтожению либо обезличиванию в течение 30 дней;
3.9.2. утрата необходимости в достижении целей обработки персональных данных — в течение 30 дней;
3.9.3. предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки — в течение 7 дней;
3.9.4. невозможность обеспечения правомерности обработки персональных данных — в течение 10 дней;
3.9.5. отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных — в течение 30 дней;
3.9.6. отзыв субъектом персональных данных согласия на использование персональных данных для контактов с потенциальными клиентами при продвижении программных продуктов, товаров, работ и услуг — в течение 2 дней;
3.9.7. истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных;
3.9.8. ликвидация (реорганизация) отдельно взятого Общества, входящего в СКБ Контур, если обработка осуществлялась исключительно в интересах данного Общества и отсутствует какой-либо правопреемник Общества в СКБ Контур.

3.10. При осуществлении трансграничной передачи персональных данных до начала такой передачи СКБ Контур убеждается в том, что иностранным государством, на территорию которого будет осуществляться передача, обеспечивается адекватная защита прав субъектов персональных данных или это иностранное государство является стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

3.11. Трансграничная передача на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях, предусмотренных 152-ФЗ и GDPR.

4. Обработка в качестве субподрядчика и привлечение субподрядчиков

4.1. Общества СКБ Контур, помимо деятельности в качестве операторов персональных данных, могут выступать как лица, осуществляющие обработку персональных данных по поручению других операторов персональных данных на основании договоров и иных соглашений. К таким случаям относятся, например, следующие:

4.1.1. предоставление клиентам СКБ Контур прав на использование программных продуктов;
4.1.2. оказание клиентам СКБ Контур услуг, связанных с обработкой данных;
4.1.3. осуществление совместной со сторонними организациями обработки в рамках партнерства СКБ Контур.

4.2. Общества СКБ Контур при необходимости могут привлекать сторонние организации к обработке персональных данных в качестве субподрядчиков при условии соблюдения принципов обработки и наличия с ними соответствующего договора или соглашения. К таким случаям относятся, например, следующие:

4.2.1. предоставление программных продуктов, товаров, выполнение работ и оказание услуг СКБ Контур совместно разными Обществами, а также со сторонними организациями, технологическими и иными партнерами СКБ Контур;
4.2.2. организация партнерской сети СКБ Контур для распространения программных продуктов, товаров, работ и услуг на рынке;
4.2.3. использование сторонних услуг, вычислительных ресурсов, приложений и инфраструктуры для обработки информации, связи с пользователями программных продуктов, работ и услуг, приобретателями товаров.

4.3. Обработка персональных данных на основании договоров и иных соглашений СКБ Контур, поручений на обработку персональных данных осуществляется в соответствии с условиями этих договоров, соглашений СКБ Контур с лицами, которым поручена обработка или которые поручили обработку на законных основаниях. Такие соглашения могут определять, в частности:

4.3.1. цели, условия, действия с персональными данными, сроки обработки персональных данных;
4.3.2. роли, функции и обязательства сторон, в том числе, меры по обеспечению конфиденциальности и информационной безопасности;
4.3.3. права и ответственность сторон, касающиеся обработки персональных данных.
4.4. В случаях, когда применимым законодательством является GDPR, предполагающий наличие соглашений DPA между участниками обработки, роль DPA после включения специальных разделов с условиями обработки персональных данных могут выполнять следующие документы:
4.4.1. лицензионные/сублицензионные договоры на право использования программного обеспечения;
4.4.2. договоры и соглашения, включающие поручения на обработку данных;
4.4.3. соглашения о конфиденциальности, обеспечении информационной безопасности;
4.4.4. правила использования информационных ресурсов, пользовательские соглашения;
4.4.5. регламенты, положения, соглашения об обработке данных, уровне сервиса.

5. Получение согласия субъекта на обработку его персональных данных

5.1. В случаях обработки, не предусмотренных действующим законодательством или договором с субъектом явно, обработка осуществляется после получения согласия субъекта персональных данных. Обязательным случаем получения предварительного согласия является, например, контакт с потенциальным клиентом в маркетинговых целях, при продвижении товаров, программных продуктов, работ и услуг СКБ Контур на рынке.

5.2. Согласие может быть выражено в форме совершения субъектом персональных данных конклюдентных действий, например:

5.2.1. принятия условий договора-оферты, лицензионного договора, правил пользования информационными ресурсами и программными продуктами СКБ Контур;
5.2.2. продолжения использования приложений, сервисов, информационных ресурсов, веб-сайтов СКБ Контур, взаимодействия с их пользовательскими интерфейсами после уведомления пользователя об обработке данных;
5.2.3. предоставления необходимых разрешений мобильному приложению при запросе в момент установки или использования;
5.2.4. проставления отметок, заполнения соответствующих полей в формах, бланках;
5.2.5. поддержания электронной переписки, в которой говорится об обработке;
5.2.6. прохода на территорию после ознакомления с предупреждающими табличками и знаками;
5.2.7. иных действий, совершаемых субъектом, по которым можно судить о его волеизъявлении.

5.3. В отдельных случаях, предусмотренных законодательством Российской Федерации, согласие оформляется в письменной форме с указанием сведений, предусмотренных 152-ФЗ, а также в соответствии с иными применимыми требованиями, типовыми формами.

5.4. В случаях обработки персональных данных, полученных не от субъекта напрямую, а от других лиц на основании договора или поручения на обработку, обязанность получения согласия субъекта может быть возложена на лицо, от которого получены персональные данные.

5.5. В случае отказа субъекта от предоставления в необходимом и достаточном объеме его персональных данных, СКБ Контур не сможет осуществить необходимые действия для достижения соответствующих обработке целей. Например, в таком случае может быть не завершена регистрация пользователя в программном продукте, услуги по договору могут быть не оказаны, работы не выполнены, товары не поставлены, резюме соискателя на вакансию не будет рассмотрено и т.д.

6. Обработка электронных пользовательских данных, включая cookies

6.1. СКБ Контур в целях обработки персональных данных, установленных Политикой, может собирать электронные пользовательские данные на своих сайтах автоматически, без необходимости участия пользователя и совершения им каких-либо действий по отправке данных.

6.2. Достоверность собранных таким способом электронных данных в СКБ Контур не проверяется, информация обрабатываются «как есть» в том виде, как она поступила с клиентского устройства.

6.3. Посетителям и пользователям сайтов СКБ Контур могут показываться всплывающие уведомления о сборе и обработке данных cookies с ссылкой на Политику и кнопками принятия условий обработки либо закрытия всплывающего уведомления.

6.4. Такие уведомления означают, что при посещении и использовании сайтов, информационных ресурсов и веб-приложений СКБ Контур в браузер на устройстве пользователя может сохраняться информация (например, данные cookies), позволяющая в дальнейшем идентифицировать пользователя или устройство, запомнить сеанс работы или сохранить некоторые настройки и предпочтения пользователя, специфичные для этих конкретных сайтов. Такая информация после сохранения в браузер и до истечения установленного срока действия или удаления с устройства будет отправляться при каждом последующем запросе на сайт, от имени которого они были сохранены, вместе с этим запросом для обработки на стороне СКБ Контур.

6.5. Обработка данных cookies необходима СКБ Контур для корректной работы сайтов, в частности, их функций, относящихся к доступу зарегистрированных пользователей программных продуктов, услуг, работ и ресурсов СКБ Контур; персонализации пользователей; повышения эффективности и удобства работы с сайтами, а также иных целей, предусмотренных Политикой.

6.6. Кроме обработки данных cookies, установленных самими сайтами СКБ Контур, пользователям и посетителям могут устанавливаться cookies, относящиеся к сайтам сторонних организаций, например, в случаях, когда на сайтах СКБ Контур используются сторонние компоненты и программное обеспечение. Обработка таких cookies регулируется политиками соответствующих сайтов, к которым они относятся, и может изменяться без уведомления пользователей сайтов СКБ Контур. К таким случаям может относиться размещение на сайтах:

6.6.1. счетчиков посещений, аналитических и статистических сервисов, таких как Яндекс.Метрика или Google Analytics для сбора статистики посещаемости общедоступных страниц сайтов;
6.6.2. виджетов вспомогательных сервисов для сбора обратной связи, организации чатов и иных видов коммуникаций с пользователями;
6.6.3. систем контекстной рекламы, баннерных и иных маркетинговых сетей;
6.6.4. кнопок авторизации на сайтах с помощью учетных записей в социальных сетях;
6.6.5. иных сторонних компонент, используемых СКБ Контур на своих сайтах.

6.7. Принятие пользователем условий обработки cookies или закрытие всплывающего уведомления в соответствии с Политикой расценивается как согласие на обработку данных cookies на сайтах СКБ Контур.

6.8. В случае если пользователь не согласен с обработкой cookies, он должен принять на себя риск, что в таком случае функции и возможности сайта могут не быть доступны в полном объеме, а затем следовать по одному из следующих вариантов:

6.8.1. произвести самостоятельную настройку своего браузера в соответствии с документацией или справкой к нему таким образом, чтобы он на постоянной основе не разрешал принимать и отправлять данные cookies для любых сайтов либо для конкретного сайта СКБ Контур или сайта стороннего компонента;
6.8.2. переключиться в специальный режим «инкогнито» браузера для использования сайтом cookies до закрытия окна браузера или до переключения обратно в обычный режим;
6.8.3. покинуть сайт во избежание дальнейшей обработки cookies.

6.9. Пользователь может самостоятельно через встроенные в браузеры средства работы с данными cookies управлять сохраненными данными, в том числе, удалять или просматривать сведения об установленных сайтами cookies, включая:

6.9.1. адреса сайтов и пути на них, куда будут отправляться cookies;
6.9.2. названия и значения параметров, хранящихся в cookies;
6.9.3. сроки действия cookies.

7. Конфиденциальность и безопасность персональных данных

7.1. Для персональных данных в СКБ Контур обеспечивается конфиденциальность в соответствии с применимым законодательством, локальными актами Обществ, условиями заключенных соглашений и договоров СКБ Контур, кроме случаев:

7.1.1. если персональные данные являются общедоступными, содержатся в общедоступных источниках персональных данных или разрешены субъектом для распространения;
7.1.2. если информация подлежит обязательному раскрытию третьим лицам, включая государственные органы, в соответствии с применимым к СКБ Контур законодательству.

7.2. СКБ Контур предпринимает необходимые и достаточные правовые, организационные и технические меры для обеспечения безопасности персональных данных для их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:

7.2.1. назначение физических или юридических лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных в конкретных Обществах;
7.2.2. издание локальных актов по вопросам обработки персональных данных, информационной безопасности, ознакомление с ними сотрудников;
7.2.3. обучение сотрудников по вопросам обработки персональных данных, обеспечения информационной безопасности;
7.2.4. обеспечение физической безопасности помещений и средств обработки, пропускной режим, охрана, видеонаблюдение;
7.2.5. ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;
7.2.6. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных, формирование на их основе моделей угроз;
7.2.7. применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе, в необходимых случаях, прошедших процедуру оценки соответствия в установленном порядке;
7.2.8. учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
7.2.9. резервное копирование информации для возможности восстановления;
7.2.10. осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты;
7.2.11. проверка наличия в договорах, включение при необходимости в договоры пунктов об обеспечении конфиденциальности и безопасности персональных данных;
7.2.12. иные меры в соответствии с локальными актами СКБ Контур.

8. Права субъектов персональных данных

8.1. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Обществу или уполномоченным представителям СКБ Контур на территории других стран, по почте или обратившись лично.

8.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

8.2.1. подтверждение факта обработки персональных данных Обществами СКБ Контур;
8.2.2. правовые основания и цели обработки персональных данных;
8.2.3. цели и применяемые в СКБ Контур способы обработки персональных данных;
8.2.4. наименование и место нахождения Общества СКБ Контур, сведения о лицах (за исключением сотрудников), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора, соглашения с Обществом или на основании федерального закона;
8.2.5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; 8.2.6. сроки обработки персональных данных, в том числе сроки их хранения;
8.2.7. порядок осуществления субъектом персональных данных прав, предусмотренных 152-ФЗ; 8.2.8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
8.2.9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Обществ СКБ Контур, если обработка поручена или будет поручена такому лицу;
8.2.10. иные сведения, предусмотренные 152-ФЗ или другими федеральными законами.

8.3. Субъект персональных данных вправе требовать от СКБ Контур уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные применимым законодательством меры по защите своих прав.

8.4. Если субъект персональных данных считает, что СКБ Контур осуществляет обработку его персональных данных с нарушением требований 152-ФЗ или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Общества, входящего в СКБ Контур, в Роскомнадзор, иной уполномоченный надзорный орган или в судебном порядке.

8.5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

9. Роли и ответственность

9.1. Права, обязанности и ответственность СКБ Контур определяются применимым законодательством, соглашениями Обществ.

9.2. Ответственность сотрудников Обществ, участвующих в обработке персональных данных в силу выполнения функциональных обязанностей, за надлежащую обработку и неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного между Обществом и сотрудником договора, обязательства о неразглашении информации, локальных актов Общества.

9.3. Контроль исполнения требований Политики в каждом из Обществ СКБ Контур осуществляется в общем случае ответственными за организацию обработки персональных данных в соответствующем Обществе, либо отдельными структурными подразделениями и уполномоченными лицами в соответствии с локальными актами конкретных Обществ.

9.4. Ответственность лиц, участвующих в обработке персональных данных на основании поручений СКБ Контур, за надлежащую обработку и неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного между Обществом СКБ Контур и контрагентом договора, соглашения о конфиденциальности информации или иного соглашения.

9.5. В отдельных случаях, предусмотренных применимым законодательством, например, GDPR или местным законодательством в сфере обработки персональных данных отдельно взятых стран, СКБ Контур может назначать представителей на территориях Европейского Союза или данных стран. В подобных случаях права, обязанности и ответственность распределяются в соответствии с договорами, соглашениями между такими представителями и СКБ Контур, а контактные сведения о представителях включаются в Политику.

9.6. Лица, виновные в нарушении норм, регулирующих обработку и обеспечение информационной безопасности персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном применимым законодательством, локальными актами, соглашениями СКБ Контур.

10. Опубликование и актуализация Политики

10.1. Политика разрабатывается лицами, ответственными за организацию обработки персональных данных в АО «ПФ «СКБ Контур», и вводится в действие после утверждения в СКБ Контур.

10.2. Политика является общедоступным документом СКБ Контур и предусматривает возможность ознакомления любых лиц с ее действующей версией, включая существующие переводы на иностранные языки, путем опубликования в сети интернет по адресу https://kontur.ru/about/policy.

10.3. Веб-формы, бланки, типовые формы СКБ Контур для сбора персональных данных в обязательном порядке содержат уведомления пользователей об обработке персональных данных в соответствии с Политикой с ссылкой на нее.

10.4. Политика действует бессрочно после утверждения и до ее замены новой версией. СКБ Контур имеет право вносить изменения в Политику без уведомления любых лиц. Политика пересматривается ежегодно для поддержания в актуальном состоянии и актуализируется по мере необходимости.

10.5. Предложения и замечания для внесения изменений в Политику заинтересованные лица могут направлять по адресу [email protected].

11. Дополнительные сведения о группе компаний СКБ Контур и ее представителях

11.1. Места нахождения и контактная информация организаций, входящих в СКБ Контур, на которые распространяется Политика:

Политика в отношении обработки персональных данных: как составить документ

Чтобы соблюсти требования Федерального закона от 27.07.2006 № 152-ФЗ, каждая компания должна разработать документ, объясняющий, как она использует персональные данные работников, клиентов и других физических лиц.

Политика в отношении обработки персональных данных должна содержать шесть разделов. Обычно этот документ размещают в свободном доступе практически на всех сайтах, которые имеют какие-либо формы сбора данных.

Как правильно составить Политику, какие разделы в нее включить, в своих рекомендациях прописал Роскомнадзор.

Структура Политики в отношении обработки персональных данных

Ведомство рекомендует предусмотреть в документе шесть основных блоков.

1. Общие цели

В этом разделе вы фактически отвечаете на вопрос — для чего предназначена Политика в отношении обработки персональных данных? Здесь же разъясняются основные понятия, которые используются в документе, а также права и обязанности оператора и субъекта персональных данных.

2. Цели сбора персональных данных

Ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных) требует определения конкретных, законных целей сбора данных. Следовательно, нельзя обрабатывать персональные данные, которые не соответствуют этим целям.

Роскомнадзор указывает на то, что цели обработки персональных данных формулируются с учетом:

  • анализа правовых актов, регламентирующих деятельность компании;
  • целей фактически осуществляемой деятельности;
  • деятельности, которая предусмотрена учредительными документами;
  • конкретных бизнес-процессов в конкретных информационных системах персональных данных (по структурным подразделениям и их процедурам в отношении определенных категорий субъектов персональных данных).

3. Правовые основания обработки персональных данных

Закон о персональных данных не является правовым основанием обработки данных. Эту роль выполняют правовые акты, в соответствии с которыми компания, как оператор, обрабатывает данные.

Таким образом, в Политике в качестве правовых оснований можно указать:

  • федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;
  • уставные документы компании;
  • договоры, заключаемые между оператором и субъектом персональных данных;
  • согласие на обработку персональных данных.

4. Объем и категории обрабатываемых данных, категории субъектов персональных данных

Важно, чтобы объем обрабатываемых персональных данных не расходился с заявленными целями обработки.

К категориям субъектов персональных данных могут относиться:

  • сотрудники — как настоящие, так и бывшие;
  • кандидаты на вакансии;
  • родственники работников;
  • клиенты и контрагенты (физлица);
  • представители или работники клиентов и контрагентов.

Роскомнадзор обращает внимание на то, что по каждой категории субъектов и применительно к конкретным целям следует указать все обрабатываемые персональные данные. Отдельно описываются все случаи обработки специальных категорий персональных данных и биометрических персональных данных (если применяются).

5. Порядок и условия обработки персональных данных

В этом разделе нужно указать перечень действий с персональными данными, способы и сроки обработки данных.

Если в рамках достижения целей обработки персональных данных оператор взаимодействует с третьими лицами, то ему нужно:

  • пояснить условия передачи персональных данных в адрес третьих лиц (речь идет в том числе о трансграничной передаче данных);
  • указать наименование и местонахождение третьих лиц;
  • обозначить цели передачи данных и их объем;
  • перечислить действия по обработке, способы и иные условия обработки, включая требования к защите обрабатываемых данных.

Передавать персональные данные оператор вправе органам дознания и следствия, а также иным уполномоченным органам по предусмотренным законодательством основаниям.

В Политику следует внести сведения о соблюдении требований конфиденциальности персональных данных (они названы в ст. 7 Закона о персональных данных) и информацию о принятии мер (ч. 2 ст. 18.1, ч. 1 ст. 19).

Кроме того, оператору нужно указать условие прекращения обработки персональных данных. Это может быть достижение целей обработки, истечение срока действия согласия на обработку, отзыв согласия субъекта персональных данных на обработку, выявление неправомерной обработки данных.

Отдельное внимание стоит уделить такому вопросу, как хранение персональных данных. Во-первых, обязательно называются сроки. Во-вторых, используются базы данных, находящиеся на территории РФ. В-третьих, учитывается тот факт, что хранение должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки. В-четвертых, необходимо упомянуть об иных условия хранения, в том числе, при обработке данных без использования средств автоматизации.

6. Актуализация, исправление, удаление и уничтожение данных, ответы на запросы субъектов на доступ к персональным данным

Согласно ст. 21, персональные данные должны быть актуализированы оператором, если подтвержден факт неточности. То же касается и подтверждения факта неправомерности обработки.

Персональные данные подлежат уничтожению при достижении целей их обработки и в случае отзыва субъектом согласия на их обработку, если: иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; иное не предусмотрено иным соглашением между оператором и субъектом персональных данных. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами.

На основании ст. 20 оператор обязан сообщить субъекту персональных данных информацию об осуществляемой им обработке по запросу.

Роскомнадзор рекомендует включить в Политику регламенты реагирования на запросы и обращения субъектов персональных данных по поводу неточности данных, неправомерности их обработки, отзыва согласия и доступа к своим данным. Не лишним будет добавить в Политику соответствующие формы запросов и обращений.

Размещение Политики в отношении обработки персональных данных

Любой человек, чьи данные обрабатывает компания, имеет право ознакомиться с Политикой. Поэтому ее нужно размещать в общедоступном месте. Например, использовать для этого информационный стенд.

Если компания собирает персональные данные через интернет, то она обязана разместить Политику на сайте. Посетитель сайта сможет ознакомиться с ней, кликнув по ссылке.

Оцените статью:
[Всего голосов: 0 Средняя оценка: 0]
Добавить комментарий