6.Правовые основания обработки персональных данных
Правовыми основаниями обработки ПДн в Компании являются:
-Конституция Российской Федерации;
-Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
-Гражданский кодекс Российской Федерации от 30.10.1994 № 51-ФЗ;
-Налоговый кодекс Российской Федерации от 31.07.1998 № 146-ФЗ;
-Федеральный закон Российской Федерации от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
-Федеральный закон Российской Федерации от 06.12.2011 № 402-ФЗ
«О бухгалтерском учете»;
-Федеральный закон Российской Федерации от 28.12.2003 № 426-ФЗ
«О специальной оценке условий труда»;
-Постановление Правительства Российской Федерации от 27.11.2006 г. № 719 «Об утверждении Положения о воинском учете»;
-Устав Компании;
-трудовой договор и соглашения к трудовому договору;
-договор/соглашение с контрагентом/клиентом;
-согласие субъекта на обработку его ПДн.
7.Цели обработки ПД, категории обрабатываемых ПДн и субъектов ПДн
7.1. Цели обработки ПДн, категории и перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки, порядок хранения и
уничтожения
определены в Приложении № 1.
8.Порядок и условия обработки персональных данных
8.1.
Сбор ПДн8.1.1. Сбор ПДн осуществляется непосредственно у самого субъекта ПДн и через других лиц, привлекаемых для сбора данных, с последующей их передачей в Компанию.
8.1.2. При сборе ПДн на страницах сайта, Компания предоставляет субъекту ПДн возможность ознакомления с настоящей Политикой и дать согласие на обработку ПДн свободно, своей волей и в своем интересе.
8.1.3. Сбор и обработка ПДн субъекта в целях продвижения товаров, работ, услуг Компании и иных третьих лиц с помощью средств связи осуществляется только при условии получения предварительного согласия на это субъекта.
8.1.4. Если в соответствии с законодательством Российской Федерации предоставление ПДн и (или) получение Компанией согласия на обработку ПДн являются обязательными, Компания разъясняет субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку.
8.1.5. Компания не отказывает в заключении договора в случае отказа дать согласие на обработку ПДн, если в соответствии с законодательством Российской Федерации получение Компанией согласия на обработку ПДн не является обязательным.
8.1.6. Если ПДн получены не от субъекта ПДн, Компания до начала обработки таких ПДн предоставляет субъекту ПДн следующую информацию:
-наименование и адрес Компании;
-цель обработки ПДн и ее правовое основание;
-перечень ПДн;
-предполагаемые пользователи ПДн;
-установленные Законодательством о ПДн права субъекта ПДн;
-источник получения ПДн.
8.1.7. Компания освобождается от обязанности предоставлять субъекту перечисленные сведения, в случаях, если субъект уведомлен об осуществлении обработки его ПДн, либо если ПДн получены Компанией на основании федерального закона или в связи с исполнением договора, стороной которого является субъект.
8.1.8. Решение, порождающее юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его ПДн только при наличии согласия в письменной форме субъекта ПДн или в случаях, предусмотренных законодательством Российской Федерации, устанавливающими меры по обеспечению соблюдения прав и законных интересов субъекта ПДн.
8.2.Условия передачи ПДн третьим лицам
8.2.1.Предоставление ПДн органам государственной власти, органам местного самоуправления, а также иным уполномоченным органам допускается в случаях и на основаниях, предусмотренных законодательством Российской Федерации.
8.2.2.Передача ПДн между подразделениями Компании осуществляется только между работниками, имеющими доступ к ПДн субъектов.
8.2.3.Представителю субъекта ПДн субъекта предоставляются в порядке, установленном действующим законодательством Российской Федерации, при наличии документов, подтверждающих полномочия представителя, и документов, удостоверяющих личность представителя.
8.2.4.Передача ПДн субъекта третьему лицу осуществляется только с согласия субъекта ПДн. В согласии субъекта ПДн указывается сведения о третьем лице (третьих лицах), которому (которым) передаются ПДн, а также цель передачи ПДн.
8.2.5.Передача ПДн или поручение обработки ПДн третьему лицу осуществляется на основании договора, существенными условиями которого являются соблюдение третьим лицом конфиденциальности и обеспечение безопасности ПДн в соответствии с требованиями Закона 152-ФЗ.
8.2.6.При передаче ПДн третьим лицам, которые на основании договоров получают доступ или осуществляют обработку ПДн, Компания ограничивает эту информацию только теми ПДн, которые необходимы для выполнения указанными лицами их функций (услуг, работ).
8.3.
Трансграничная передача ПДнТрансграничная передача ПДн не осуществляется.
8.4.
Хранение ПДн8.4.1.Хранение ПДн осуществляется в информационных системах Компании и на бумажных носителях.
8.4.2.Документы на бумажных носителях, резервные копии без данных информационных систем хранятся в специально выделенных помещениях Компании, доступ к которым предоставляется работникам в соответствии с должностными обязанностями.
8.5.
Прекращение обработки и уничтожение ПДн8.5.1.В случае обращения субъекта с требованием прекратить обработку его ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи, Компания незамедлительно прекращает их обработку.
8.5.2. В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя, либо Роскомнадзора, Компания в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, прекращает неправомерную обработку ПДн и в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки ПДн, уничтожает такие ПДн.
8.5.3.В случае отзыва субъектом согласия на обработку его ПДн Компания прекращает такую обработку и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожает ПДн в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено законодательством Российской Федерации, нормами архивного хранения документов, содержащих ПДн, а также договором стороной которого является субъект.
8.5.4.В случае обращения субъекта ПДн с требованием о прекращении обработки ПДн Компания в срок, не превышающий 10 (десяти) рабочих дней с даты получения соответствующего требования, прекращает их обработку, за исключением случаев, предусмотренных законодательством Российской Федерации.
8.5.5.В случае утраты необходимости в достижении целей Компания уничтожает обрабатываемые ПДн в срок, не превышающий 30 (тридцати) дней, если иное не предусмотрено законодательством Российской Федерации.
8.5.6.В случае достижения целей обработки ПДн, а также по истечении установленных сроков хранения ПДн Компания уничтожает обрабатываемые ПДн в срок, не превышающий 30 (тридцати) дней, если иное не предусмотрено законодательством Российской Федерации.
8.6.При обработке ПДн Компания руководствуется Положением об обработке персональных данных, устанавливающим порядок, условия и требования к обработке ПДн в Компании, а также особенности осуществляемой обработки.
9.Конфиденциальность персональных данных
9.1.Доступ к ПДн ограничивается в соответствии с законодательством Российской Федерации.
9.2.Доступ к обрабатываемым ПДн предоставляется только тем работникам Компании, которым он необходим в связи с исполнением ими своих должностных обязанностей.
9.3.Работники Компании, получившие доступ к ПДн, принимают на себя обязательства по обеспечению конфиденциальности и безопасности обрабатываемых ПДн.
9.4.Компания не раскрывает третьим лицам и не распространяет ПДн без согласия на это субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.
9.5.Третьи лица, получившие доступ к ПДн, или осуществляющие обработку ПДн по поручению Компании, обязуются соблюдать требования договоров и соглашений с Компанией в части обеспечения конфиденциальности и безопасности ПДн.
10.Безопасность персональных данных
10.1.В Компании соответствующими распорядительными документами назначены лица, ответственные за организацию обработки и обеспечение безопасности ПДн.
10.2.Безопасность ПДн Компании в соответствии с Положением о защите персональных данных обеспечивается с помощью системы защиты ПДн, включающей организационные и технические меры.
10.3.В целях обеспечения безопасности ПДн в Компании выполняются следующие мероприятия:
-систематическая оценка угроз безопасности ПДн при их обработке в информационных системах ПДн;
-оценка причинения вреда и (или) нанесения ущерба субъектам ПДн в случае нарушения Законодательства о ПДн;
-определение необходимого уровня защищенности ПДн, обрабатываемых в информационных системах Компании, в соответствии с Постановлением Правительства РФ от 01.11.2012 г. №1119 «Об утверждении требований к защите ПДн при их обработке в информационных системах персональных данных»;
-разграничение доступа к информационным системам ПДн, материальным носителям (документам), съемным (машинным) носителям ПДн;
-регистрация и учет действий пользователей и администраторов информационных систем с ПДн, программными средствами информационных систем, съемными (машинными) носителями и средствами защиты информации;
-предотвращение внедрения в информационные системы Компании вредоносных программ;
-использование защищенных каналов связи;
-резервирование и восстановление работоспособности технических средств и программного обеспечения, баз данных и средств защиты информационных систем;
-исключение возможности бесконтрольного прохода в офисы Компании, а также в помещения, где размещены технические средства, позволяющие осуществлять обработку ПДн, а также хранятся носители ПДн;
-выявление инцидентов, связанных с нарушением требований по обработке и обеспечению безопасности ПДн, и реагирование на них;
-повышение уровня знаний работников Компании в сфере обработки и обеспечения безопасности ПДн;
-проведение внутренних и внешних проверок (аудитов) соответствия безопасности ПДн требованиям настоящей Политики, внутренних документов Компании, требованиям Законодательства о ПДн;
-оценка эффективности принимаемых мер по обеспечению безопасности ПДн и совершенствование системы защиты ПДн.
11.Порядок рассмотрения обращений субъектов персональных данных
11.1.Предоставление информации и/или принятие иных мер в связи с поступлением обращений и/или запросов от субъектов ПДн производится Компанией в объеме и сроки, предусмотренные Законом № 152-ФЗ (10 (рабочих) дней)). Установленный Законом № 152-ФЗ срок ответа субъекту на запрос о предоставлении информации, касающейся обработки его ПДн, может быть продлен не более чем на 5 (пять) рабочих дней в случае направления Компанией в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
11.2.Запрос, направляемый субъектом ПДн, должен содержать информацию, предусмотренную Законом № 152-ФЗ.
11.3.Компания, получив обращение/запрос субъекта ПДн и убедившись в его законности предоставляет сведения, указанные в запросе, субъекту ПДн и/или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе, и/или принимает иные меры в зависимости от специфики обращения/запроса. Предоставляемые Компанией сведения не должны содержать ПДн, принадлежащие другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких ПДн.
11.4.Компания вправе отказать субъекту ПДн в удовлетворении требований, указанных в обращении, путем направления субъекту ПДн или его представителю мотивированного отказа, если у Компании в соответствии с законодательством Российской Федерации имеются законные основания отказать в выполнении/удовлетворении поступивших требований.
11.5.В Компании осуществляется контроль за приемом и обработкой обращений субъектов ПДн в целях обеспечения соблюдения прав и законных интересов субъектов ПДн, требований к срокам обработки обращений, обеспечения качества и полноты принятия мер в отношении законного требования субъекта ПДн и предоставления необходимой информации по его обращению в соответствии с Порядком работы с обращениями субъектов персональных данных или их представителей, и запросами уполномоченного органа по защите прав субъектов персональных данных.
12.Уведомление уполномоченного органа по защите прав субъектов персональных данных
12.1.Оператор до начала обработки ПДн обязан уведомить Роскомнадзор, за исключением случаев обработки ПДн:
-включенных в государственные ИСПДн, созданные в целях защиты безопасности государства и общественного порядка;
-в случае осуществления обработки ПДн исключительно без использования средств автоматизации.
12.2.Уведомление об обработке ПДн направляется в виде документа на бумажном носителе или в виде электронного документа, по форме, утвержденной Приказом Роскомнадзора от 28.10.2022 №180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении, о прекращении обработки персональных данных» и подписывается уполномоченным лицом.
12.3.Уведомление должно содержать следующие сведения:
-наименование (ФИО), адрес Оператора;
-цель обработки ПДн;
-описание мер, предусмотренных статьями 18.1 и 19 Закона 152-ФЗ, в т.ч. сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
-ФИО физического лица или наименование юридического лица, ответственных за организацию обработки ПДн, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
-дата начала обработки ПДн;
-срок или условие прекращения обработки ПДн;
-сведения о наличии или об отсутствии трансграничной передачи ПДн в процессе их обработки;
-ведения о месте нахождения базы данных информации, содержащей ПДн граждан РФ;
-ФИО физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку ПДн, содержащихся в государственных и муниципальных ИС;
-сведения об обеспечении безопасности ПДн в соответствии с требованиями к защите ПДн, установленными Правительством РФ.
12.4.В случае изменения ранее представленных сведений Оператор, не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить об этом Роскомнадзор.
12.5.В случае прекращения обработки ПДн Оператор обязан уведомить об этом Роскомнадзор в течение 10 рабочих дней с даты прекращения обработки ПДн.
12.6.В случаях, установленных Законом № 152-ФЗ, Компания направляет в Роскомнадзор уведомление об обработке ПДн, а также уведомление об осуществлении трансграничной передачи ПДн.
12.7.В случае изменений сведений об обработке ПДн и осуществлении трансграничной передачи ПДн Компания уведомляет об этом Роскомнадзор в порядке и сроки, установленные Законом № 152-ФЗ.
12.8.В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, Компания с момента выявления такого инцидента, уведомляет Роскомнадзор:
12.9.в течение 24 (двадцати четырех) часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также о лице, уполномоченном Компанией на взаимодействие с Роскомнадзором, по вопросам, связанным с выявленным инцидентом;
12.10.в течение 72 (семидесяти двух) часов о результатах внутреннего расследования выявленного инцидента, а также о лицах, действия которых стали причиной выявленного инцидента (при наличии).
12.11.Компания сообщает по запросу Роскомнадзора необходимую информацию в течение 10 (десяти) рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Компанией в адрес Роскомнадзора мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
13.Запреты и ограничения на обработку ПДн, разрешенных субъектом ПДн для распространения
13.1.Посетители сайта (неограниченный круг лиц) и любые сторонние операторы не могут осуществлять какие-либо действия в отношении ПДн работников Компании, которые распространяются на информационных ресурсах Компании за исключением ознакомления с ПДн.
14.Заключительные положения
14.1.Настоящая Политика подлежит пересмотру и совершенствованию на регулярной основе в установленном в Компании порядке, а также в случаях изменения законодательства Российской Федерации или внутренних нормативных документов Компании, определяющих порядок обработки и защиты ПДн.
14.2.Контроль исполнения требований настоящей Политики осуществляется лицами, ответственными за организацию обработки и обеспечение безопасности ПДн в Компании.
14.3.Ответственность должностных лиц Компании, имеющих доступ к ПДн, за невыполнение требований и норм, регулирующих обработку и защиту ПДн, определяется в соответствии с законодательством Российской Федерации и внутренними нормативным документами Компании.
Контактная информация
Любые обращения, касающиеся обработки ПДн, направляются на электронную почту: hello@sberintegro.ru, либо на почтовый адрес: 121170, г. Москва, вн.тер.г. Муниципальный Округ Дорогомилово, пр-кт Кутузовский, д. 36, стр. 4.