Мобильное приложение Астрал ЭПД: Политика обработки персональных данных

Общие положения

Политика обработки персональных данных, применяемая в отношении приложения (программного обеспечения), разработанного для использования на мобильных устройствах (смартфонах, планшетах и т.п.), «Астрал-ЭПД» (далее - Политика) является документом, регулирующим основные направления в отношении обработки персональных данных и реализуемых требованиях к защите персональных данных в Обществе с ограниченной ответственностью «АСТРАЛ-СОФТ» (далее - Оператор) при использовании приложения (программного обеспечения), разработанного для использования на мобильных устройствах (смартфонах, планшетах и т.п.), «Астрал-ЭПД» (далее – Приложение «Астрал-ЭПД»).

Политика действует в отношении всех персональных данных, которые ООО «АСТРАЛ-СОФТ» как правообладатель и/или разработчик может получить в процессе использования физическими лицами Приложения «Астрал-ЭПД», а также сайтов, программ для ЭВМ, приложений (в т.ч. приложений (программного обеспечения), разработанных для использования на мобильных устройствах (смартфонах, планшетах и т.п.)), сервисов, программных продуктов, связанных с Приложением «Астрал-ЭПД», информация о которых расположена на ресурсе в сети «Интернет» по адресам: astral.ru, help.astral.ru, https://platform.astral.ru/ и других принадлежащих ООО «АСТРАЛ-СОФТ» сайтах (далее совместно - Сервисы).

Политика разработана в целях исполнения обязанностей, возложенных на Оператора Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных»).

Политика является общедоступной, предусматривает возможность ознакомления с ней любых лиц.

Политика размещается в информационно-телекоммуникационной сети «Интернет» на официальном сайте Оператора по адресу: https://help.astral.ru/aepd/politika-obrabotki-personal-nyh-dannyh,  и в письменном виде на бумажном носителе - по адресу: г. Калуга, ул. Циолковского, д. 4, офис 211.

Сведения об Операторе:

• ИНН 4027145240;
• КПП 402701001;
• ОГРН 1214000000092;
• Дата постановки на учет: 13.01.2021 г.;
• Адрес места нахождения: 248000, г. Калуга, ул. Циолковского, дом 4, офис 211;
• Почтовый адрес: 248000, г. Калуга, ул. Циолковского, дом 4, офис 211;
• Регистрационный номер Оператора в Реестре операторов, осуществляющих обработку персональных данных — 40-21-001973;
• Ссылка на Реестр операторов, осуществляющих обработку персональных данных -  https://pd.rkn.gov.ru/operators-registry/operators-list/?id=40-21-001973;
• Основание внесения Оператора в Реестр операторов, осуществляющих обработку персональных данных - приказ уполномоченного органа по защите прав субъектов персональных данных № 85 от 16.07.2021.

Запросы о реализации прав в отношении обработки персональных данных физических лиц или жалобы относительно некорректности персональных данных или незаконности обработки персональных данных необходимо направлять по следующему адресу электронной почты: shiryaev_aa@astral.ru.

Правообладателем и разработчиком Приложения «Астрал-ЭПД» является Общество с ограниченной ответственностью «АСТРАЛ-СОФТ» (ООО «АСТРАЛ-СОФТ»): ОГРН 1214000000092, ИНН 4027145240; адрес: 248000, Калужская обл., г.о. город Калуга, г. Калуга, ул. Циолковского, д. 4, офис 211).

Основные понятия и определения

Политике используются понятия из Федерального закона «О персональных данных», а также значения понятий, толкуемые исходя из положений Федерального закона «О персональных данных» и иных нормативных правовых актов.

Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Согласие на обработку персональных данных - конкретное, информированное, сознательное волеизъявление субъекта персональных данных на предоставление своих персональных данных и данное свободно, своей волей и в своем интересе разрешение на их обработку.

Оператор - юридическое лицо самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Неавтоматизированная обработка персональных данных - обработка персональных данных, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Правовые основания обработки персональных данных

Правовыми основаниями обработки Оператором персональных данных является комплекс правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет свою деятельность и обработку персональных данных, в том числе:

• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации
• Федеральный закон от 1 апреля 1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системах обязательного пенсионного страхования и обязательного социального страхования»;
• Федеральный закон от 8 февраля 1998 г. № 14-ФЗ «Об обществах с ограниченной ответственностью»;
• Федеральный закон от 28 марта 1998 г. № 53-ФЗ «О воинской обязанности и военной службе»;
• Федеральный закон от 15 декабря 2001 г. № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
• Федеральный закон от 7 июля 2003 № 126-ФЗ «О связи»;
• Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
• Федеральный закон от 8 ноября 2007 г. № 259-ФЗ «Устав автомобильного транспорта и городского наземного электрического транспорта»;
• Федеральный закон от 6 декабря 2011 г. № 402-ФЗ «О бухгалтерском учете»;
• иные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.

Правовым основанием обработки Оператором персональных данных также являются:

• устав Оператора;
• трудовые договоры и иные соглашения, заключаемые Оператором с субъектами персональных данных;
• согласие субъектов персональных данных на обработку их персональных данных.

Цели и способы обработки персональных данных субъектов персональных данных

Обработка персональных данных осуществляется Оператором:

• в целях оформления трудовых отношений;
• в целях ведения кадрового и бухгалтерского учета;
• в целях осуществления финансово-хозяйственной деятельности;
• в целях обеспечения возможности использования пользователями Приложения «Астрал-ЭПД», Сервисов, согласно интерфейсу и функциональным возможностям Приложения «Астрал-ЭПД» и таких Сервисов;
• в иных целях, не противоречащих действующему законодательству Российской Федерации и подзаконным актам.

Действие (операция) или совокупность действий (операций) по обработке персональных данных осуществляется Оператором путем автоматизированной и не автоматизированной обработки и включает в себя:

• сбор;
• запись;
• систематизацию;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передачу (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление и уничтожение.

Принципы и условия обработки персональных данных

Обработка персональных данных осуществляется Оператором с соблюдением принципов и условий, предусмотренных Федеральным законом «О персональных данных», на законной и справедливой основе.

При обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

Оператор исходит из того, что субъект персональных данных предоставляет достоверные, актуальные и достаточные персональные данные. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.

Получение Оператором персональных данных осуществляется в устной, письменной форме, путем предоставления документов (в т.ч. их копий), содержащих персональные данные, в электронной форме посредством информационно-телекоммуникационной сети «Интернет».

В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает представитель субъекта персональных данных. В таком случае полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Оператором.

Персональные данные могут быть получены Оператором от лица, не являющегося субъектом персональных данных, при условии предоставления Оператору подтверждения наличия оснований, указанных в Федеральном законе «О персональных данных».

Согласие субъекта персональных данных на обработку персональных данных предоставляется Оператору в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом «О персональных данных».

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в части 2 статьи 9 Федерального закона «О персональных данных».

Согласие в письменной форме субъекта персональных данных на обработку его персональных данных включает в себя, в частности:

• фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
• наименование или фамилию, имя, отчество и адрес Оператора, получающего согласие субъекта персональных данных;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка будет поручена такому лицу;
• перечень действий с персональными данными, на совершение которых дается согласие, общее списание используемых Оператором способов обработки персональных данных;
• срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
• собственноручную подпись субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи».

Обработка персональных данных допускается в следующих случаях:

• обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
• обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
• обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
• обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
• обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Обработка специальных категорий персональных данных и биометрических персональных данных допускается в случаях, установленных федеральным законом.

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обеспечивает субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.

Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления Оператору соответствующего требования субъекта персональных данных.

Хранение персональных данных осуществляется Оператором в форме, позволяющей определить субъекта персональных данных, не больше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Передача персональных данных третьим лицам допускается с письменного согласия субъектов персональных данных и в случаях, установленных законодательством Российской Федерации.

Базы данных Оператора, содержащие персональные данные субъектов персональных данных, находятся на территории Российской Федерации.

Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным законодательством Российской Федерации.

Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

Категории и объем обрабатываемых персональных данных

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

Оператор может осуществлять обработку персональных данных следующих категорий субъектов персональных данных в следующем объеме:

Соискателей работы - лиц, разместивших или предоставивших свое резюме (кандидаты на замещение вакантных должностей):

• фамилия, имя, отчество;
• пол;
• гражданство;
• дата и место рождения;
• контактные данные;
• сведения об образовании, опыте работы, квалификации;
• иные персональные данные, сообщаемые соискателями работы в резюме и сопроводительных письмах.

Работников -лиц, состоящих (состоявших) в трудовых отношениях с Оператором:

• фамилия, имя, отчество;
• пол;
• гражданство;
• дата и место рождения;
• изображение (фотография);
• паспортные данные;
• адрес регистрации по месту жительства;
• адрес фактического проживания;
• контактные данные;
• индивидуальный номер налогоплательщика;
• страховой номер индивидуального лицевого счета (СНИЛС);
• сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
• семейное положение, наличие детей, родственные связи;
• сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
• данные о регистрации брака;
• сведения о воинском учете;
• сведения об инвалидности;
• сведения об удержании алиментов;
• сведения о доходе с предыдущего места работы;
• иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

Членов семьи работников Оператора:

• фамилия, имя, отчество;
• степень родства;
• год рождения;
• иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

Клиентов и контрагентов Оператора и/или пользователей Сервисов (в т.ч. Приложения «Астрал-ЭПД») - физических лиц, состоящих в договорных отношениях с Оператором и/или присоединившихся к пользовательскому соглашению Сервиса, в том числе для выполнения условий пользовательских соглашений Сервисов:

• фамилия, имя, отчество;
• дата и место рождения;
• паспортные данные;
• адрес регистрации по месту жительства;
• контактные данные;
• замещаемая должность;
• индивидуальный номер налогоплательщика;
• номер банковского счета;
• иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров, в том числе для выполнения условий пользовательских соглашений Сервисов.

Представители (работники) клиентов и контрагентов Оператора (юридических лиц):

• фамилия, имя, отчество;
• паспортные данные;
• контактные данные;
• замещаемая должность;
• иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров.

Посетителей - лиц, являющих посетителями Оператора и участниками мероприятий, проводимых Оператором:

• фамилия, имя, отчество;
• паспортные данные;
• замещаемая должность;
• иные персональные данные, необходимые для посещения Оператора или участия в проводимых Оператором мероприятиях.

Пользователей сайта Оператора - лиц, пользующиеся формой обратной связи на сайте astral.ru или посетивших данный сайт:

• фамилия, имя, отчество;
• контактные данные;
• иные персональные данные, необходимые Оператору для взаимодействия с пользователями сайта Оператора.

Условия обработки данных при использовании Приложения «Астрал-ЭПД»

Приложение «Астрал-ЭПД» (правообладатель и разработчик ООО «АСТРАЛ-СОФТ») может обрабатывать следующие данные пользователей, при их вводе пользователем в интерфейсе Приложения «Астрал-ЭПД»: фамилия, имя, отчество, номер телефона, email, СНИЛС, табельный номер пользователя, иные персональные данные, предоставляемые пользователями, необходимые для реализации и применения функциональных возможностей Приложения «Астрал-ЭПД».

Цель обработки данных: предоставление пользователю возможности использование функциональных возможностей Приложения «Астрал-ЭПД» и исполнение требований законодательства Российской Федерации.

Допустимые способы обработки данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), удаление и уничтожение.

Иные специальные способы обработки данных возможны в случае получения Оператором отдельного явно выраженного согласия пользователя на их обработку.

Срок обработки данных: в пределах сроков, установленных действующим законодательством Российской Федерации, а если такой срок не установлен, то в течение 10 (десяти) лет с даты последнего использования сервиса пользователем.

По истечении срока обработки данных, данные подлежат уничтожению с соблюдением требований законодательства Российской Федерации.

Основные права и обязанности

Субъект персональных данных имеет право:

• обращаться к Оператору, либо предоставлять запрос на получение информации, касающейся обработки его персональных данных (за исключением случаев, предусмотренных действующим законодательством Российской Федерации), в том числе содержащей:
  • подтверждение факта обработки персональных данных Оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые Оператором способы обработки персональных данных;
  • наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
• требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• отзывать ранее данное Оператору согласие на обработку персональных данных;
• обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
• защищать свои права и законные интересы в соответствии с действующим законодательством Российской Федерации.

Субъект персональных данных обязан:

• сообщать достоверные, точные, достаточные и актуальные персональные данные, предоставлять документы, содержащие такие персональные данные, необходимые для заявленной цели обработки;
• сообщать Оператору об уточнении своих персональных данных в случае, если персональные данные являются неполными, устаревшими, неточным;
• исполнять иные обязанности, которые предусмотрены действующим законодательством Российской Федерации.

Оператор имеет право:

• получать от субъекта персональных данных его персональные данные, документы, содержащие такие данные и согласие на обработку персональных данных. В случае недееспособности субъекта персональных данных, данные могут быть получены от представителя субъекта персональных данных;
• в случае смерти субъекта персональных данных согласие на обработку его персональных данных может быть получено от наследников субъекта персональных данных, если согласие не было дано субъектом персональных данных при его жизни, в случае наличия оснований, предусмотренных Федеральным законом «О персональных данных»;
• осуществлять обработку предоставленных персональных данных субъекта персональных данных;
• поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом «О персональных данных», на основании заключаемого с этим лицом договора;
• пользоваться иными правами, которые предусмотрены действующим законодательством Российской Федерации.

 Оператор обязан:

• осуществлять обработку персональных данных в соответствии с требованиями Федерального закона «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами;
• не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом «О персональных данных»;
• сообщать по запросу субъекту персональных данных или его представителю информацию, касающуюся обработки его персональных данных (либо предусмотренный Федеральным законом «О персональных данных» обоснованный отказ в выполнении повторного запроса предоставления такой информации, не соответствующего требованиям Федерального закона «О персональных данных»), а также предоставить безвозмездно возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его законного представителя;
• разъяснять субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, рассматривать заявленное возражение, а также разъяснять порядок защиты субъектом персональных данных своих прав и законных интересов;
• предоставлять в случаях, предусмотренных Федеральным законом «О персональных данных», субъекту персональных данных до начала обработки персональных данных, полученных не от субъекта персональных данных, следующую информацию:
  • наименование либо фамилия, имя, отчество и адрес Оператора или его представителя;
  • цель обработки персональных данных и ее правовое основание;
  • перечень персональных данных;
  • предполагаемые пользователи персональных данных;
  • установленные Федеральным законом «О персональных данных» права субъекта персональных данных;
  • источник получения персональных данных;
• принимать меры, направленные на обеспечение выполнения Оператором обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами;
• принимать меры по обеспечению безопасности персональных данных, предусмотренные Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами;
• реагировать в соответствии с Федеральным законом «О персональных данных» на поступившие обращения субъекта персональных данных либо на полученные запросы субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных;
• устранять нарушения порядка обработки персональных данных;
• уточнять, блокировать и уничтожить персональные данные в установленных Федеральным законом «О персональных данных» случаях;
• исполнять иные обязанности, которые предусмотрены действующим законодательством Российской Федерации.

Меры в области обработки и защиты персональных данных

Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Федеральным законом «О персональных данных» или другими федеральными законами.

К таким мерам, в частности, относятся:

• назначение Оператором ответственного за организацию обработки персональных данных;
• издание Оператором документов, определяющих политику Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушении законодательства Российской Федерации, устранение последствий таких нарушений;
• применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с Федеральным законом «О персональных данных»;
• осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
• оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Оператором Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
• ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Если иное не предусмотрено законодательством Российской Федерации, состав и перечень указанных мер Оператор определяет самостоятельно.

Обеспечение безопасности персональных данных достигается, в частности:

• определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
• применением средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
• оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• учетом машинных носителей персональных данных;
• обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
• восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации

Персональные данные, обрабатываемые без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).

При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных используется отдельный материальный носитель.

В отношении каждой категории персональных данных определены места хранения персональных данных (материальных носителей) и установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, установлен Оператором самостоятельно.

Сотрудники Оператора, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе лица, осуществляющие такую обработку по договору с Оператором), проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Оператора.

При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), соблюдаются следующие условия:

• типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) содержат сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес Оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Оператором способов обработки персональных данных;
• типовая форма предусматривает поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;
• типовая форма составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектом персональных данных;
• типовая форма исключает объединение полей, предназначенных длявнесения персональных данных, цели обработки которых заведомо не совместимы.

При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, принимаются меры по обеспечению раздельной обработки персональных данных, в частности:

• при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
• при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

Актуализация, исправление, удаление и уничтожение персональных данных

В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

В случае выявления неправомерной обработки персональных данных Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
• иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.

Заключительные положения

Локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, разработаны Оператором с учетом положений Политики и действующего законодательства Российской Федерации.

Политика в настоящей редакции вступает в силу с момента ее утверждения и действует до момента ее отмены или замены новой редакцией. Изменения в Политику вносятся Оператором в одностороннем порядке без осуществления каких-либо уведомлений. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения, если иное не предусмотрено новой редакцией Политики.

Политика распространяется на все персональные данные, обрабатываемые Оператором, а также на все процессы Оператора, в которых осуществляется обработка персональных данных субъектов персональных данных.

Лица, виновные в нарушении требований Федерального закона «О персональных данных», несут предусмотренную законодательством Российской Федерации ответственность.

К отношениям, непосредственно не урегулированным настоящей Политикой, применяются нормы действующего законодательства Российской Федерации.