Политика обработки и защиты персональных данных
1. Общие положения
8. Правовым основанием обработки персональных данных в зависимости от целей процесса, предусматривающего обработку ПДн может являться:
1.8.1 Конституция Российской Федерации, а также совокупность правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных:
9. Термины и определения, используемые в настоящей Политике:
Автоматизированная обработка персональных данных — обработка ПДн с помощью средств вычислительной техники.
Безопасность персональных данных — состояние защищенности ПДн, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность ПДн при их обработке в информационных системах.
Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются для установления личности субъекта ПДн.
Блокирование персональных данных — временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
Защита персональных данных — комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации субъекту ПДн.
Информационная система персональных данных (далее ИСПДн) — совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
Информация — сведения (сообщения, данные) независимо от формы их представления.
Конфиденциальность персональных данных — обязательное для выполнения оператором или иным лицом, получившим доступ к ПДн, требование не допускать раскрытия ПДн третьим лицам, и их распространение без согласия субъекта ПДн или наличия иного законного основания.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Оператор — ООО «ТТК-Датацентр» (далее — Общество), самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
Персональные данные (далее ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
Персональные данные, разрешенные субъектом персональных данных для распространения — ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном ФЗ «О персональных данных».
Предоставление персональных данных — действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
Распространение персональных данных — действия, направленные на раскрытие ПДн неопределенному кругу лиц.
Ответственный за организацию обработки персональных данных — должностное лицо Общества, ответственное за организацию обработки ПДн в Обществе.
Субъект персональных данных (далее субъект ПДн) — физическое лицо, определяемое или определенное персональными данными.
Специальные категории персональных данных — персональные данные субъектов ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и судимости.
Трансграничная передача персональных данных — передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Угрозы безопасности персональных данных — совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ПДн, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПДн, а также иные неправомерные действия при их обработке в ИСПДн.
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн.
Уровень защищенности персональных данных — комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПДн при их обработке в ИСПДн.
- Настоящая Политика обработки и защиты персональных данных ООО «ТТК-Датацентр» (далее — Политика) определяет политику в отношении Обработки и обеспечения безопасности ПДн.
- Целью настоящей Политики является установление основных принципов и подходов к обработке и обеспечению безопасности ПДн в Обществе.
- Действие Политики распространяется на все процессы Общества, связанные с Обработкой ПДн, полученных как до, так и после ввода в действие настоящей Политики.
- Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к Обработке ПДн в Обществе.
- На основании приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Общество включено в реестр операторов, осуществляющих Обработку ПДн.
- Политика размещается в общем доступе на сайте Общества, в том числе на страницах сайта Общества, с использованием которых осуществляется сбор ПДн.
- Настоящая Политика разработана в соответствии со следующими нормативными документами:
- Трудовой кодекс Российской Федерации;
- Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»);
- Федеральный закон РФ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации» (далее — Федеральный закон № 572- ФЗ);
- Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- Постановление Правительства Р Ф от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства Р Ф от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказ Федеральной службы в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных»;
- внутренние нормативные документы ООО «ТТК-Датацентр», регламентирующие обработку и обеспечение безопасности персональных данных;
- иные нормативные правовые акты Российской Федерации и нормативные документы исполнительных органов государственной власти.
8. Правовым основанием обработки персональных данных в зависимости от целей процесса, предусматривающего обработку ПДн может являться:
1.8.1 Конституция Российской Федерации, а также совокупность правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных:
- Налоговый кодекс Российской Федерации;
- Гражданский Кодекс Российской Федерации;
- ст. 86 — 90 Трудового кодекса Российской Федерации;
- Федеральный закон от 26.12.1995 № 208-ФЗ «Об акционерных обществах»;
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе»;
- Федеральный закон от 27.11.2018 № 422-ФЗ «О проведении эксперимента по установлению специального налогового режима „Налог на профессиональный доход“ в городе федерального значения Москве, в Московской и Калужской областях, а также в Республике Татарстан (Татарстан)»;
- Устав ООО «ТТК-Датацентр»;
- договоры, заключаемые между Обществом и Субъектом Персональных данных, в том числе в случае реализации Обществом своего права на уступку прав (требований) по таким договорам, между Обществом и иным лицом, поручившим Обществу обработку Персональных данных, а также для заключения договоров, стороной которых являются Субъекты Персональных данных;
- согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Общества), в т. ч. согласие соискателей на замещение вакантных должностей на обработку персональных данных, согласие практиканта на обработку персональных данных, согласие работников на обработку персональных данных; согласие клиентов на обработку персональных данных, согласие посетителей Общества, пользователей сайта, согласие иных субъектов персональных данных; согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
- осуществление прав и законных интересов Общества или третьих лиц;
- иные нормативные правовые акты Российской Федерации и нормативные документы исполнительных органов государственной власти.
9. Термины и определения, используемые в настоящей Политике:
Автоматизированная обработка персональных данных — обработка ПДн с помощью средств вычислительной техники.
Безопасность персональных данных — состояние защищенности ПДн, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность ПДн при их обработке в информационных системах.
Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются для установления личности субъекта ПДн.
Блокирование персональных данных — временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
Защита персональных данных — комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации субъекту ПДн.
Информационная система персональных данных (далее ИСПДн) — совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
Информация — сведения (сообщения, данные) независимо от формы их представления.
Конфиденциальность персональных данных — обязательное для выполнения оператором или иным лицом, получившим доступ к ПДн, требование не допускать раскрытия ПДн третьим лицам, и их распространение без согласия субъекта ПДн или наличия иного законного основания.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Оператор — ООО «ТТК-Датацентр» (далее — Общество), самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
Персональные данные (далее ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
Персональные данные, разрешенные субъектом персональных данных для распространения — ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном ФЗ «О персональных данных».
Предоставление персональных данных — действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
Распространение персональных данных — действия, направленные на раскрытие ПДн неопределенному кругу лиц.
Ответственный за организацию обработки персональных данных — должностное лицо Общества, ответственное за организацию обработки ПДн в Обществе.
Субъект персональных данных (далее субъект ПДн) — физическое лицо, определяемое или определенное персональными данными.
Специальные категории персональных данных — персональные данные субъектов ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и судимости.
Трансграничная передача персональных данных — передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Угрозы безопасности персональных данных — совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ПДн, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПДн, а также иные неправомерные действия при их обработке в ИСПДн.
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн.
Уровень защищенности персональных данных — комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПДн при их обработке в ИСПДн.
2. Принципы, способы и условия обработки ПДн
2.1. Обработка ПДн Обществом осуществляется на основе принципов:
2.2. Обработка ПДн, разрешенных субъектом ПДн для распространения, осуществляется с соблюдением запретов и условий, установленных статьей 10.1 ФЗ «О персональных данных».
2.3. Обработка ПДн в Обществе осуществляется в соответствии с требованиями ФЗ «О персональных данных», настоящей Политикой и внутренними нормативными документами Общества, регламентирующими обработку и обеспечение информационной безопасности ПДн.
2.4. Обработка ПДн в Обществе производится в следующих случаях:
2.5. Если в соответствии с федеральным законом предоставление ПДн и (или) получение оператором согласия на обработку ПДн являются обязательными, оператор обязан разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку.
2.6. Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, оформляется отдельно от иных согласий субъекта ПДн.
2.7. Сбор, хранение, использование и распространение, в том числе передача третьим лицам ПДн субъекта ПДн без письменного его согласия или любого другого основания, установленного ФЗ «О персональных данных» и, в частности, разделом 2 настоящей Политики, в Обществе запрещена.
2.8. Обработка ПДн в Обществе может осуществляться работниками Общества, а также третьими лицами, осуществляющими обработку ПДн по поручению Общества с согласия субъекта ПДн, если иное не предусмотрено ФЗ «О персональных данных», на основании заключаемых с этими лицами договорами, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее — поручение оператора).
2.9. Лицо, осуществляющее обработку ПДн по поручению оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные ФЗ «О персональных данных», соблюдать конфиденциальность ПДн, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных». В поручении оператора должны быть определены перечень ПДн, перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн, требования, предусмотренные ч. 5 ст. 18 и ст. 18.1 ФЗ «О персональных данных», обязанность по запросу оператора ПДн в течение срока действия поручения оператора, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии со ст. 6 ФЗ «О персональных данных», обязанность обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со ст. 19 ФЗ «О персональных данных», в том числе требование об уведомлении оператора о случаях, предусмотренных ч. 3.1 ст. 21 ФЗ «О персональных данных». В случае, если оператор поручает обработку ПДн иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом ПДн за действия указанных лиц несет оператор и лицо, осуществляющее обработку ПДн по поручению оператора.
2.10. Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение ПДн.
2.11. Обработка ПДн в Обществе может осуществляться как с использованием, так и без использования средств автоматизации.
2.12. При хранении ПДн на материальных носителях не допускается хранение на одном материальном носителе ПДн, цели обработки которых заведомо несовместимы. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн используется отдельный материальный носитель. Во все договоры и анкеты Общества, заключаемые с субъектами ПДн (физическими лицами, их представителями; индивидуальными предпринимателями; представителями юридических лиц и т. д.), включен пункт о согласии субъекта ПДн на обработку переданных им Обществу его ПДн с возможностью передачи третьим лицам (третьи лица конкретизированы).
2.13. В тех случаях, когда необходимо получение отдельного согласия субъекта ПДн (нет других оснований на обработку ПДн, установленных ФЗ «О персональных данных», соблюдаются следующие условия:
2.14. В случае выявления недостоверных ПДн или неправомерных действий Общества с ними при обращении или по запросу субъекта ПДн, Общество обязана осуществить блокирование ПДн, а также с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов ПДн или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов ПДн.
2.15. В случае подтверждения факта неточности ПДн, Общество на основании сведений, представленных субъектом ПДн или его представителем, либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов, обязана уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется третьим лицом, действующим по поручению Общества) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн.
2.16. В случае достижения цели обработки ПДн, Общество обязано прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) и уничтожить ПДн, или обеспечить их уничтожение (если обработка ПДн осуществляется третьим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено законодательством или условиями договора с субъектом ПДн, либо другими законными основаниями, предусмотренными ФЗ «О персональных данных».
2.17. В случае отзыва субъектом ПДн согласия на обработку его ПДн, Общество обязано прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется третьим лицом, действующим по поручению Общества) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется третьим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено законом или условиями договора с субъектом ПДн, либо другими законными основаниями, предусмотренными ФЗ «О персональных данных». О прекращении обработки ПДн Общество уведомляет субъекта ПДн.
2.18. В случае обращения субъекта ПДн к Обществу с требованием о прекращении обработки ПДн оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПДн), за исключением случаев, предусмотренных требованиями ФЗ «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
2.19. В случае отсутствия возможности уничтожения ПДн в течение указанного срока, Общество осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется третьим лицом, действующим по поручению Общества) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
2.20. Передача ПДн в государственные органы осуществляется Обществом в соответствии с требованиями законодательства Российской Федерации.
2.21. Трансграничная передача ПДн Обществом не осуществляется.
2.1. Обработка ПДн Обществом осуществляется на основе принципов:
- законности целей и способов обработки ПДн;
- добросовестности Общества, как оператора ПДн, что достигается путем выполнения требований законодательства Российской Федерации в отношении обработки ПДн;
- соответствия состава и объема обрабатываемых ПДн, а также способов обработки ПДн заявленным целям обработки;
- точности и достаточности, а в необходимых случаях и актуальности ПДн по отношению к заявленным целям их обработки;
- уничтожения ПДн по достижении целей их обработки способом, исключающим возможность их восстановления (если иное не предусмотрено законодательством Российской Федерации);
- недопустимости объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
2.2. Обработка ПДн, разрешенных субъектом ПДн для распространения, осуществляется с соблюдением запретов и условий, установленных статьей 10.1 ФЗ «О персональных данных».
2.3. Обработка ПДн в Обществе осуществляется в соответствии с требованиями ФЗ «О персональных данных», настоящей Политикой и внутренними нормативными документами Общества, регламентирующими обработку и обеспечение информационной безопасности ПДн.
2.4. Обработка ПДн в Обществе производится в следующих случаях:
- обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
- обработка ПДн необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей;
- обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- обработка ПДн необходима для предоставления государственной или муниципальной услуги;
- обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта ПДн;
- обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн;
- обработка ПДн необходима для осуществления прав и законных интересов Общества или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
- обработка ПДн необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПДн;
- обработка ПДн осуществляется в статистических или иных исследовательских целях, за исключением целей продвижения товаров, работ, услуг на рынке, политической агитации, при условии обязательного обезличивания ПДн;
- осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе;
- осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством РФ.
2.5. Если в соответствии с федеральным законом предоставление ПДн и (или) получение оператором согласия на обработку ПДн являются обязательными, оператор обязан разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку.
2.6. Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, оформляется отдельно от иных согласий субъекта ПДн.
2.7. Сбор, хранение, использование и распространение, в том числе передача третьим лицам ПДн субъекта ПДн без письменного его согласия или любого другого основания, установленного ФЗ «О персональных данных» и, в частности, разделом 2 настоящей Политики, в Обществе запрещена.
2.8. Обработка ПДн в Обществе может осуществляться работниками Общества, а также третьими лицами, осуществляющими обработку ПДн по поручению Общества с согласия субъекта ПДн, если иное не предусмотрено ФЗ «О персональных данных», на основании заключаемых с этими лицами договорами, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее — поручение оператора).
2.9. Лицо, осуществляющее обработку ПДн по поручению оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные ФЗ «О персональных данных», соблюдать конфиденциальность ПДн, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных». В поручении оператора должны быть определены перечень ПДн, перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн, требования, предусмотренные ч. 5 ст. 18 и ст. 18.1 ФЗ «О персональных данных», обязанность по запросу оператора ПДн в течение срока действия поручения оператора, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии со ст. 6 ФЗ «О персональных данных», обязанность обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со ст. 19 ФЗ «О персональных данных», в том числе требование об уведомлении оператора о случаях, предусмотренных ч. 3.1 ст. 21 ФЗ «О персональных данных». В случае, если оператор поручает обработку ПДн иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом ПДн за действия указанных лиц несет оператор и лицо, осуществляющее обработку ПДн по поручению оператора.
2.10. Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение ПДн.
2.11. Обработка ПДн в Обществе может осуществляться как с использованием, так и без использования средств автоматизации.
2.12. При хранении ПДн на материальных носителях не допускается хранение на одном материальном носителе ПДн, цели обработки которых заведомо несовместимы. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн используется отдельный материальный носитель. Во все договоры и анкеты Общества, заключаемые с субъектами ПДн (физическими лицами, их представителями; индивидуальными предпринимателями; представителями юридических лиц и т. д.), включен пункт о согласии субъекта ПДн на обработку переданных им Обществу его ПДн с возможностью передачи третьим лицам (третьи лица конкретизированы).
2.13. В тех случаях, когда необходимо получение отдельного согласия субъекта ПДн (нет других оснований на обработку ПДн, установленных ФЗ «О персональных данных», соблюдаются следующие условия:
- субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе;
- согласие на обработку ПДн должно быть конкретным, предметным, информированным, сознательным и однозначным;
- согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в письменной форме или в любой другой форме, позволяющей подтвердить факт его получения;
- в случае получения согласия на обработку ПДн от представителя субъекта ПДн, полномочия данного представителя на дачу согласия от имени субъекта ПДн должны быть проверены Обществом.
2.14. В случае выявления недостоверных ПДн или неправомерных действий Общества с ними при обращении или по запросу субъекта ПДн, Общество обязана осуществить блокирование ПДн, а также с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов ПДн или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов ПДн.
2.15. В случае подтверждения факта неточности ПДн, Общество на основании сведений, представленных субъектом ПДн или его представителем, либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов, обязана уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется третьим лицом, действующим по поручению Общества) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн.
2.16. В случае достижения цели обработки ПДн, Общество обязано прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) и уничтожить ПДн, или обеспечить их уничтожение (если обработка ПДн осуществляется третьим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено законодательством или условиями договора с субъектом ПДн, либо другими законными основаниями, предусмотренными ФЗ «О персональных данных».
2.17. В случае отзыва субъектом ПДн согласия на обработку его ПДн, Общество обязано прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется третьим лицом, действующим по поручению Общества) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется третьим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено законом или условиями договора с субъектом ПДн, либо другими законными основаниями, предусмотренными ФЗ «О персональных данных». О прекращении обработки ПДн Общество уведомляет субъекта ПДн.
2.18. В случае обращения субъекта ПДн к Обществу с требованием о прекращении обработки ПДн оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПДн), за исключением случаев, предусмотренных требованиями ФЗ «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
2.19. В случае отсутствия возможности уничтожения ПДн в течение указанного срока, Общество осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется третьим лицом, действующим по поручению Общества) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
2.20. Передача ПДн в государственные органы осуществляется Обществом в соответствии с требованиями законодательства Российской Федерации.
2.21. Трансграничная передача ПДн Обществом не осуществляется.
3. Категории субъектов ПДн, состав ПДн и цели обработки ПДн
3.1. В соответствии с положениями ФЗ «О персональных данных» Общество самостоятельно определяет Категории субъектов ПДн, цели обработки ПДн, категории обрабатываемых ПДн.
3.2. Категории субъектов ПДн, цели обработки ПДн, состав обрабатываемых Обществом ПДн, и используемые способы обработки приведены в Таблице 1.
3.3. В Обществе не ведется обработка таких специальных категорий ПДн как информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, интимной жизни.
3.4. В Обществе не ведется обработка биометрических ПДн.
3.1. В соответствии с положениями ФЗ «О персональных данных» Общество самостоятельно определяет Категории субъектов ПДн, цели обработки ПДн, категории обрабатываемых ПДн.
3.2. Категории субъектов ПДн, цели обработки ПДн, состав обрабатываемых Обществом ПДн, и используемые способы обработки приведены в Таблице 1.
3.3. В Обществе не ведется обработка таких специальных категорий ПДн как информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, интимной жизни.
3.4. В Обществе не ведется обработка биометрических ПДн.
4. Права и обязанности субъектов ПДн
4.1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
4.2. Сведения по запросу должны быть предоставлены субъекту ПДн Обществом в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн. Порядок запроса указанных сведений представлен в разделе 5 настоящей Политики.
4.3. Субъект ПДн имеет право на отзыв данного ранее согласия на обработку ПДн, если иное не предусмотрено условиями договора с субъектом ПДн или другими законными основаниями, предусмотренными ФЗ «О персональных данных».
4.4. Субъект ПДн вправе требовать от Общества уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4.5. Если субъект ПДн считает, что Общество осуществляет обработку его ПДн с нарушением требований ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Общества в орган по защите прав субъектов ПДн (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) или в судебном порядке.
4.6. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке, а также иные права, определенные главой 3 ФЗ «О персональных данных».
4.7. Субъект ПДн обязан предоставлять Обществу ПДн только в объеме, необходимом для достижения названных целей.
4.8. Субъект ПДн обязан предоставлять Обществу достоверные ПДн, с целью соблюдения его законных прав и интересов.
4.1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
- подтверждение факта обработки ПДн в Обществе;
- правовые основания и цели обработки ПДн;
- применяемые в Обществе способы обработки ПДн;
- наименование и место нахождения Общества, сведения о лицах (за исключением работников), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Обществом или на основании федерального закона;
- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки ПДн, в том числе сроки их хранения;
- порядок осуществления субъектом ПДн прав, предусмотренных ФЗ «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче ПДн;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Общества, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами.
4.2. Сведения по запросу должны быть предоставлены субъекту ПДн Обществом в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн. Порядок запроса указанных сведений представлен в разделе 5 настоящей Политики.
4.3. Субъект ПДн имеет право на отзыв данного ранее согласия на обработку ПДн, если иное не предусмотрено условиями договора с субъектом ПДн или другими законными основаниями, предусмотренными ФЗ «О персональных данных».
4.4. Субъект ПДн вправе требовать от Общества уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4.5. Если субъект ПДн считает, что Общество осуществляет обработку его ПДн с нарушением требований ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Общества в орган по защите прав субъектов ПДн (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) или в судебном порядке.
4.6. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке, а также иные права, определенные главой 3 ФЗ «О персональных данных».
4.7. Субъект ПДн обязан предоставлять Обществу ПДн только в объеме, необходимом для достижения названных целей.
4.8. Субъект ПДн обязан предоставлять Обществу достоверные ПДн, с целью соблюдения его законных прав и интересов.
5. Обязанности оператора
5.1. Общество при обработке ПДн обязано:
5.1. Общество при обработке ПДн обязано:
- принимать необходимые меры для выполнения обязанностей оператора, предусмотренных законодательством Российской Федерации в сфере обработки и защиты ПДн;
- разъяснять субъекту ПДн юридические последствия отказа предоставить ПДн, если это является обязательным в соответствии с законодательством Российской Федерации;
- осуществлять блокирование неправомерно обрабатываемых ПДн;
- осуществлять прекращение обработки ПДн в соответствии с законодательством Российской Федерации;
- уведомлять субъекта ПДн об устранении допущенных нарушений или уничтожения его ПДн;
- предоставлять по просьбе субъекта ПДн или его представителя информацию, касающуюся обработки его ПДн, в течение десяти рабочих дней с момента обращения либо получения оператором запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн оператором, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Оператор предоставляет сведения, указанные в ч. 7 ст. 14 ФЗ «О персональных данных», субъекту ПДн или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
6. Конфиденциальность ПДн
6.1. Информация, относящаяся к ПДн, ставшая известной Обществу, является конфиденциальной информацией и охраняется законом.
6.2. Работники Общества и иные лица, получившие доступ к обрабатываемым ПДн, подписали обязательство о неразглашении конфиденциальной информации, а также предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства РФ в области обработки ПДн.
6.1. Информация, относящаяся к ПДн, ставшая известной Обществу, является конфиденциальной информацией и охраняется законом.
6.2. Работники Общества и иные лица, получившие доступ к обрабатываемым ПДн, подписали обязательство о неразглашении конфиденциальной информации, а также предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства РФ в области обработки ПДн.
7. Меры по обеспечению безопасности обрабатываемых ПДн
7.1. Безопасность ПДн обеспечивается реализацией комплекса мер, определенных федеральными законами, указами Президента Российской Федерации, постановлениями Правительства Российской Федерации, приказами ФСТЭК России, ФСБ России, Роскомнадзора, нормативными документами Общества.
7.2. В соответствии с частью 2 статьи 19 ФЗ «О персональных данных» для обеспечения безопасности ПДн при их обработке Общество принимает правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
7.3. Меры по обеспечению безопасности ПДн обеспечивают предотвращение нарушения конфиденциальности, целостности и доступности ПДн при их обработке, при этом обеспечение безопасности ПДн предусматривает ограничение доступа к ним.
7.4. Обмен ПДн при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения технических средств.
7.5. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с ПДн, организация режима обеспечения безопасности в этих помещениях обеспечивает сохранность носителей ПДн и средств защиты информации, а также исключает возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
7.6. При обработке ПДн в информационной системе должно быть обеспечено:
7.8. Работники Общества, доступ которых к ПДн, обрабатываемым в информационных системах, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим ПДн на основании утвержденного в Обществе списка.
7.9. Функции обеспечения контроля за выполнением организационных и технических мер по обеспечению безопасности ПДн, обрабатываемых Обществе, возложены на ответственное структурное подразделение и работников, ответственных за организацию обработки и обеспечение безопасности ПДн.
7.1. Безопасность ПДн обеспечивается реализацией комплекса мер, определенных федеральными законами, указами Президента Российской Федерации, постановлениями Правительства Российской Федерации, приказами ФСТЭК России, ФСБ России, Роскомнадзора, нормативными документами Общества.
7.2. В соответствии с частью 2 статьи 19 ФЗ «О персональных данных» для обеспечения безопасности ПДн при их обработке Общество принимает правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
7.3. Меры по обеспечению безопасности ПДн обеспечивают предотвращение нарушения конфиденциальности, целостности и доступности ПДн при их обработке, при этом обеспечение безопасности ПДн предусматривает ограничение доступа к ним.
7.4. Обмен ПДн при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения технических средств.
7.5. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с ПДн, организация режима обеспечения безопасности в этих помещениях обеспечивает сохранность носителей ПДн и средств защиты информации, а также исключает возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
7.6. При обработке ПДн в информационной системе должно быть обеспечено:
- проведение мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
- своевременное обнаружение фактов несанкционированного доступа к ПДн;
- недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
- возможность восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- постоянный контроль за обеспечением уровня защищенности ПДн.
- определением угроз безопасности ПДн при их обработке в ИСПДн;
- применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
- учетом машинных носителей ПДн;
- учетом лиц, допущенных к работе с ПДн в информационной системе;
- контролем за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
- обнаружением фактов несанкционированного доступа к ПДн и принятием мер, направленных на защиту ПДн от несанкционированного доступа;
- восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
- контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.
7.8. Работники Общества, доступ которых к ПДн, обрабатываемым в информационных системах, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим ПДн на основании утвержденного в Обществе списка.
7.9. Функции обеспечения контроля за выполнением организационных и технических мер по обеспечению безопасности ПДн, обрабатываемых Обществе, возложены на ответственное структурное подразделение и работников, ответственных за организацию обработки и обеспечение безопасности ПДн.
8. Ответственность за нарушение норм, регулирующих обработку ПДн
8.1. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки ПДн в Обществе.
8.2. Лица, виновные в нарушении норм, регулирующих обработку ПДн и защиту обрабатываемых в Обществе ПДн, несут предусмотренную законодательством Российской Федерации ответственность.
8.1. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки ПДн в Обществе.
8.2. Лица, виновные в нарушении норм, регулирующих обработку ПДн и защиту обрабатываемых в Обществе ПДн, несут предусмотренную законодательством Российской Федерации ответственность.
9. Изменение настоящей Политики и заключительные положения
9.1. Общество имеет право вносить изменения в настоящую Политику.
9.2. Пересмотр и обновление настоящей Политики осуществляется в связи с изменениями законодательства Российской Федерации в области ПДн, по результатам анализа актуальности, достаточности и эффективности используемых мер обеспечения безопасности ПДн при их обработке в информационных системах ПДн Общества, а также по результатам других контрольных мероприятий.
9.3. Политика вступает в силу с момента утверждения уполномоченным лицом и ее размещения на сайте Общества, если иное не предусмотрено новой редакцией Политики.
9.4. Действующая редакция Политики хранится по адресу: 121 357, г. Москва, Вн.тер.г. муниципальный округ Можайский, ул. Верейская, д. 29 стр. 33, помещ 1Н/2. Электронная версия Политики размещена на официальном сайте Общества: https://cloud.ttk.ru/privacy. Адрес электронной почты для обращений Субъектов ПДн вопросам обработки ПДн в Обществе: am@ttkdc.ru
9.1. Общество имеет право вносить изменения в настоящую Политику.
9.2. Пересмотр и обновление настоящей Политики осуществляется в связи с изменениями законодательства Российской Федерации в области ПДн, по результатам анализа актуальности, достаточности и эффективности используемых мер обеспечения безопасности ПДн при их обработке в информационных системах ПДн Общества, а также по результатам других контрольных мероприятий.
9.3. Политика вступает в силу с момента утверждения уполномоченным лицом и ее размещения на сайте Общества, если иное не предусмотрено новой редакцией Политики.
9.4. Действующая редакция Политики хранится по адресу: 121 357, г. Москва, Вн.тер.г. муниципальный округ Можайский, ул. Верейская, д. 29 стр. 33, помещ 1Н/2. Электронная версия Политики размещена на официальном сайте Общества: https://cloud.ttk.ru/privacy. Адрес электронной почты для обращений Субъектов ПДн вопросам обработки ПДн в Обществе: am@ttkdc.ru
Таблица 1
Цели обработки ПДн, категории субъектов ПДн, категории ПДн, правовые основания обработки ПДн, перечень действий с ПДн, способы обработки ПДн.
