Политика обработки персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика в отношении обработки персональных данных (далее - Политика) подготовлена в соответствии со статьей 18.1 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных») и действует в отношении всех персональных данных, которые общество с ограниченной ответственностью «Группа компаний «АВА» (далее – ООО "Группа компаний "АВА", Компания, организация) может получить от субъектов персональных данных.
1.2. Политика является основополагающим внутренним регулятивным документом ООО "Группа компаний "АВА", определяющим ключевые направления его деятельности в области обработки и защиты персональных данных, оператором которых является Компания.
1.3. Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в ООО "Группа компаний "АВА", в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.
1.4. Положения Политики распространяются на персональные данные, полученные как до, так и после подписания настоящей Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите персональных данных, полученных до ее утверждения.
2. Основные понятия, используемые в Политике
2.1. В настоящем документе используются следующие понятия: - персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
- субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;
- оператор - ООО "Группа компаний "АВА" самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- работник - физическое лицо, вступившее в трудовые отношения с работодателем на основании трудового договора и на иных основаниях, предусмотренных Трудовым кодексом Российской Федерации;
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
- электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
3. Состав обрабатываемых персональных данных
3.1. Сведениями, составляющими персональные данные, в ООО "Группа компаний "АВА" является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
3.2. ООО "Группа компаний "АВА" обрабатывает персональные данные следующих категорий субъектов персональных данных: - работников и бывших работников ООО "Группа компаний "АВА" и их близких родственников; - граждан, претендующих на замещение должностей в ООО "Группа компаний "АВА", и их близких родственников; - агентов (контрагентов) при заключении договоров гражданско-правового характера; - студентов-практикантов; - иностранных граждан, являющихся работниками иностранных юридических лиц; - лиц, включаемых в перечень рассылки информационных и иных материалов по направлениям деятельности Компании.
3.3. ООО "Группа компаний "АВА" может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться: - фамилия, имя, отчество; - должность; - наименование подразделения; - адрес электронной почты; - контактный номер телефона; - иные персональные данные, сообщаемые субъектом персональных данных для указанных целей.
3.4. В случае необходимости обработка биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) в Компании будет осуществляться в соответствии с законодательством Российской Федерации.
3.4. В организации не осуществляется обработка персональных данных специальных категорий, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости.
4. Цели обработки персональных данных
4.1. ООО "Группа компаний "АВА" осуществляет обработку персональных данных для достижения конкретных, заранее определенных и законных целей. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных.
4.2. Обработка персональных данных осуществляется в следующих целях:
- информирование и консультирование клиентов по всем вопросам, возникающим в ходе изучения предложений Оператора по объектам недвижимости; по вопросам, возникающим при выборе объекта недвижимости для приобретения, оформления документов по приобретению объекта недвижимости, а также информирование путем смс-рассылки о новых услугах, акциях, предложениях и мероприятиях;
- обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
- исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- проведения учебно-ознакомительной и преддипломной практики;
- содействия кандидатам в трудоустройстве,
- обеспечение возможности обучения и должностного роста работников,
- обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
- ведения кадрового делопроизводства, заключение, изменение, сопровождение, прекращение трудовых договоров между работником и Компанией, формирования личных дел работников;
- предоставления работникам отпусков и направления их в командировки;
- организации и оформления награждений и поощрений работников;
- оформления заграничных паспортов и виз, а также медицинских страховок для выезжающих за рубеж;
- организации постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
- соблюдение действующего бухгалтерского и пенсионного законодательства Российской Федерации и иных нормативных правовых актов;
- предоставления работникам и членам их семей дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения (гарантий);
- заполнения и передачи в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
- регистрации работников в качестве участников различных мероприятий;
- рассылки информационных и иных материалов по направлениям деятельности Компании;
- подготовки, заключения, исполнения и прекращения гражданско-правовых договоров;
- формирования справочных материалов для внутреннего информационного обеспечения деятельности организации;
- оказание информационных, справочных и консультационных услуг в рамках телефонного обслуживания;
- обеспечение пропускного и внутриобъектового режимов на территории Компании.
5. Права и обязанности
5.1. Права и обязанности ООО "Группа компаний "АВА"
5.1.1. ООО "Группа компаний "АВА" как оператор персональных данных вправе:
- отстаивать свои интересы в суде;
- предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
- отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
- использовать персональные данные субъекта без его согласия, в случаях, предусмотренных законодательством;
- принимать локальные нормативные акты в развитие настоящей Политики;
- предлагать субъекту персональных данных оформить персональное письменное согласие на обработку/передачу персональных данных;
- привлекать к дисциплинарной ответственности работников ООО "Группа компаний "АВА", к должностным обязанностям которых относится обработка персональных данных, за нарушение требований к защите персональных данных.
5.1.2. Оператор персональных данных обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами:
- организовывать обработку персональных данных в ООО "Группа компаний "АВА" в соответствии с требованиями Федерального закона «О персональных данных»;
- обеспечивать защиту персональных данных, обрабатываемых в Компании, от их неправомерного использования или утраты;
- получать персональные данные у субъекта персональных данных. В случаях, когда персональные данные можно получить только у третьих лиц, делать это исключительно с письменного согласия субъекта персональных данных;
- своевременно и в соответствии с требованиями законодательства Российской Федерации реагировать на обращения и запросы субъектов персональных данных, и их законных представителей, а именно:
- разъяснять субъекту юридические последствия отказа предоставить его персональные данные, если предоставление персональных данных является обязательным в соответствии с Федеральным законом «О персональных данных»;
- обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ;
- сообщать субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными;
- в случае отказа, при обращении субъекта персональных данных или его представителя, в предоставлении субъекту персональных данных его персональных данных или информации о наличии в Компании его персональных данных, давать в письменной форме мотивированный ответ, содержащий ссылку на положение федерального закона, являющееся основанием для такого отказа;
- предоставлять безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, а также по требованию субъекта персональных данных или его представителя вносить в них необходимые изменения и уничтожать, если они не являются необходимыми для заявленной цели обработки, и принимать разумные меры для уведомления третьих лиц об изменениях в персональных данных, которым, персональные данные этого субъекта были переданы;
- сообщать в уполномоченный орган по защите прав субъекта персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса;
- устранять нарушения законодательства, допущенные при обработке персональных данных;
- уточнять, блокировать и уничтожать персональные данные в случаях, предусмотренных частями 2 - 6 статьи 21 Федерального закона «О персональных данных».
5.1.3. Оператор персональных данных обязан предоставить субъекту (если персональные данные получены не от субъекта, до начала обработки таких персональных данных) следующую информацию (за исключением случаев, предусмотренных п. 5.1.4 Политики):
- наименование и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемых пользователях информационной системы персональных данных;
- сроки обработки персональных данных, в том числе сроки их хранения; - установленные Федеральным законом «О персональных данных» права субъекта;
- источник получения персональных данных.
5.1.4. Оператор освобождается от обязанности предоставить субъекту сведения, предусмотренные п. 5.1.3 Политики, в случаях если:
- субъект уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
- персональные данные получены оператором на основании Федерального закона «О персональных данных» или в связи с исполнением договора, стороной которого является субъект;
- персональных данных сделаны общедоступными субъектом или получены из общедоступного источника.
5.2. Права субъекта персональных данных
5.2.1. Субъект персональных данных имеет право:
- безвозмездно знакомиться со своими персональными данными, за исключением случаев, предусмотренных Федеральным законом «О персональных данных»;
- получать информацию, касающуюся обработки своих персональных данных, в том числе содержащую подтверждение факта обработки персональных данных Компанией; правовые основания и цели обработки персональных данных; применяемые способы обработки персональных данных; информацию об отсутствии трансграничной передачи данных;
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- требовать перечень своих персональных данных, обрабатываемых ООО "Группа компаний "АВА", и источник их получения;
- получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
- отозвать свое согласие на обработку персональных данных.
5.2.2. Субъект, персональные данные которого обрабатываются в ООО "Группа компаний "АВА", обязан:
- сообщать достоверную информацию о себе и предоставлять документы, содержащие персональные данные, состав которых установлен законодательством Российской Федерации и локальными нормативными документами Компании в объеме, необходимом для цели обработки;
- сообщать организации об уточнении (обновлении, изменении) своих персональных данных.
6. Принципы обработки персональных данных
6.1. Обработка персональных данных в ООО "Группа компаний "АВА" осуществляется на основе принципов:
- законности и справедливости целей и способов обработки персональных данных, соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных. Защита персональных данных основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты персональных данных;
- системности: обработка персональных данных осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных;
- комплексность: защита персональных данных строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Компании и других имеющихся в организации систем и средств защиты;
- непрерывность: защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки персональных данных, в том числе при проведении ремонтных и регламентных работ;
- своевременность: меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки;
- преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты персональных данных осуществляется на основании результатов анализа практики обработки персональных данных в Компании с учетом выявления новых способов и средств реализации угроз безопасности персональных данных, отечественного и зарубежного опыта в сфере защиты информации;
- персональная ответственность: ответственность за обеспечение безопасности персональных данных возлагается на работников в пределах их обязанностей, связанных с обработкой и защитой персональных данных;
- минимизация прав доступа: доступ к персональным данным предоставляется работникам только в объеме, необходимом для выполнения ими должностных обязанностей;
- гибкость: обеспечение выполнения функций защиты персональных данных при изменении характеристик функционирования информационных систем персональных данных Компании, а также объема и состава обрабатываемых персональных данных; - открытость алгоритмов и механизмов защиты: структура, технологии и алгоритмы функционирования системы защиты персональных данных Компании не дают возможности преодоления имеющихся в организации систем защиты возможными нарушителями безопасности персональных данных;
- научная обоснованность и техническая реализуемость: уровень мер по защите персональных данных определяется современным уровнем развития информационных технологий и средств защиты информации;
- специализация и профессионализм: реализация мер по обеспечению безопасности персональных данных и эксплуатация системы защиты персональных данных осуществляются работниками, имеющими необходимые для этого квалификацию и опыт;
- эффективность процедур отбора кадров и выбора контрагентов: кадровая политика Компании предусматривает тщательный подбор персонала и мотивацию работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности персональных данных; минимизация вероятности возникновения угрозы безопасности персональных данных, источники которых связаны с человеческим фактором, обеспечивается получением наиболее полной информации о контрагентах Компании до заключения договоров;
- наблюдаемость и прозрачность: меры по обеспечению безопасности персональных данных должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;
- непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты персональных данных, а результаты контроля регулярно анализируются.
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных,
- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные.
6.2. Уничтожение персональных данных либо обезличивание осуществляется по достижении целей их обработки или в случае утраты необходимости в их достижении, если срок хранения персональных данных не установлен законодательством Российской Федерации, другими документами, определяющими такой срок.
6.3. Обработка персональных данных осуществляется на основании условий, определенных законодательством Российской Федерации.
1.1. Настоящая Политика в отношении обработки персональных данных (далее - Политика) подготовлена в соответствии со статьей 18.1 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных») и действует в отношении всех персональных данных, которые общество с ограниченной ответственностью «Группа компаний «АВА» (далее – ООО "Группа компаний "АВА", Компания, организация) может получить от субъектов персональных данных.
1.2. Политика является основополагающим внутренним регулятивным документом ООО "Группа компаний "АВА", определяющим ключевые направления его деятельности в области обработки и защиты персональных данных, оператором которых является Компания.
1.3. Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в ООО "Группа компаний "АВА", в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.
1.4. Положения Политики распространяются на персональные данные, полученные как до, так и после подписания настоящей Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите персональных данных, полученных до ее утверждения.
2. Основные понятия, используемые в Политике
2.1. В настоящем документе используются следующие понятия: - персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
- субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;
- оператор - ООО "Группа компаний "АВА" самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- работник - физическое лицо, вступившее в трудовые отношения с работодателем на основании трудового договора и на иных основаниях, предусмотренных Трудовым кодексом Российской Федерации;
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
- электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
3. Состав обрабатываемых персональных данных
3.1. Сведениями, составляющими персональные данные, в ООО "Группа компаний "АВА" является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
3.2. ООО "Группа компаний "АВА" обрабатывает персональные данные следующих категорий субъектов персональных данных: - работников и бывших работников ООО "Группа компаний "АВА" и их близких родственников; - граждан, претендующих на замещение должностей в ООО "Группа компаний "АВА", и их близких родственников; - агентов (контрагентов) при заключении договоров гражданско-правового характера; - студентов-практикантов; - иностранных граждан, являющихся работниками иностранных юридических лиц; - лиц, включаемых в перечень рассылки информационных и иных материалов по направлениям деятельности Компании.
3.3. ООО "Группа компаний "АВА" может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться: - фамилия, имя, отчество; - должность; - наименование подразделения; - адрес электронной почты; - контактный номер телефона; - иные персональные данные, сообщаемые субъектом персональных данных для указанных целей.
3.4. В случае необходимости обработка биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) в Компании будет осуществляться в соответствии с законодательством Российской Федерации.
3.4. В организации не осуществляется обработка персональных данных специальных категорий, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости.
4. Цели обработки персональных данных
4.1. ООО "Группа компаний "АВА" осуществляет обработку персональных данных для достижения конкретных, заранее определенных и законных целей. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных.
4.2. Обработка персональных данных осуществляется в следующих целях:
- информирование и консультирование клиентов по всем вопросам, возникающим в ходе изучения предложений Оператора по объектам недвижимости; по вопросам, возникающим при выборе объекта недвижимости для приобретения, оформления документов по приобретению объекта недвижимости, а также информирование путем смс-рассылки о новых услугах, акциях, предложениях и мероприятиях;
- обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
- исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- проведения учебно-ознакомительной и преддипломной практики;
- содействия кандидатам в трудоустройстве,
- обеспечение возможности обучения и должностного роста работников,
- обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
- ведения кадрового делопроизводства, заключение, изменение, сопровождение, прекращение трудовых договоров между работником и Компанией, формирования личных дел работников;
- предоставления работникам отпусков и направления их в командировки;
- организации и оформления награждений и поощрений работников;
- оформления заграничных паспортов и виз, а также медицинских страховок для выезжающих за рубеж;
- организации постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
- соблюдение действующего бухгалтерского и пенсионного законодательства Российской Федерации и иных нормативных правовых актов;
- предоставления работникам и членам их семей дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения (гарантий);
- заполнения и передачи в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
- регистрации работников в качестве участников различных мероприятий;
- рассылки информационных и иных материалов по направлениям деятельности Компании;
- подготовки, заключения, исполнения и прекращения гражданско-правовых договоров;
- формирования справочных материалов для внутреннего информационного обеспечения деятельности организации;
- оказание информационных, справочных и консультационных услуг в рамках телефонного обслуживания;
- обеспечение пропускного и внутриобъектового режимов на территории Компании.
5. Права и обязанности
5.1. Права и обязанности ООО "Группа компаний "АВА"
5.1.1. ООО "Группа компаний "АВА" как оператор персональных данных вправе:
- отстаивать свои интересы в суде;
- предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
- отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
- использовать персональные данные субъекта без его согласия, в случаях, предусмотренных законодательством;
- принимать локальные нормативные акты в развитие настоящей Политики;
- предлагать субъекту персональных данных оформить персональное письменное согласие на обработку/передачу персональных данных;
- привлекать к дисциплинарной ответственности работников ООО "Группа компаний "АВА", к должностным обязанностям которых относится обработка персональных данных, за нарушение требований к защите персональных данных.
5.1.2. Оператор персональных данных обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами:
- организовывать обработку персональных данных в ООО "Группа компаний "АВА" в соответствии с требованиями Федерального закона «О персональных данных»;
- обеспечивать защиту персональных данных, обрабатываемых в Компании, от их неправомерного использования или утраты;
- получать персональные данные у субъекта персональных данных. В случаях, когда персональные данные можно получить только у третьих лиц, делать это исключительно с письменного согласия субъекта персональных данных;
- своевременно и в соответствии с требованиями законодательства Российской Федерации реагировать на обращения и запросы субъектов персональных данных, и их законных представителей, а именно:
- разъяснять субъекту юридические последствия отказа предоставить его персональные данные, если предоставление персональных данных является обязательным в соответствии с Федеральным законом «О персональных данных»;
- обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ;
- сообщать субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными;
- в случае отказа, при обращении субъекта персональных данных или его представителя, в предоставлении субъекту персональных данных его персональных данных или информации о наличии в Компании его персональных данных, давать в письменной форме мотивированный ответ, содержащий ссылку на положение федерального закона, являющееся основанием для такого отказа;
- предоставлять безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, а также по требованию субъекта персональных данных или его представителя вносить в них необходимые изменения и уничтожать, если они не являются необходимыми для заявленной цели обработки, и принимать разумные меры для уведомления третьих лиц об изменениях в персональных данных, которым, персональные данные этого субъекта были переданы;
- сообщать в уполномоченный орган по защите прав субъекта персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса;
- устранять нарушения законодательства, допущенные при обработке персональных данных;
- уточнять, блокировать и уничтожать персональные данные в случаях, предусмотренных частями 2 - 6 статьи 21 Федерального закона «О персональных данных».
5.1.3. Оператор персональных данных обязан предоставить субъекту (если персональные данные получены не от субъекта, до начала обработки таких персональных данных) следующую информацию (за исключением случаев, предусмотренных п. 5.1.4 Политики):
- наименование и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемых пользователях информационной системы персональных данных;
- сроки обработки персональных данных, в том числе сроки их хранения; - установленные Федеральным законом «О персональных данных» права субъекта;
- источник получения персональных данных.
5.1.4. Оператор освобождается от обязанности предоставить субъекту сведения, предусмотренные п. 5.1.3 Политики, в случаях если:
- субъект уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
- персональные данные получены оператором на основании Федерального закона «О персональных данных» или в связи с исполнением договора, стороной которого является субъект;
- персональных данных сделаны общедоступными субъектом или получены из общедоступного источника.
5.2. Права субъекта персональных данных
5.2.1. Субъект персональных данных имеет право:
- безвозмездно знакомиться со своими персональными данными, за исключением случаев, предусмотренных Федеральным законом «О персональных данных»;
- получать информацию, касающуюся обработки своих персональных данных, в том числе содержащую подтверждение факта обработки персональных данных Компанией; правовые основания и цели обработки персональных данных; применяемые способы обработки персональных данных; информацию об отсутствии трансграничной передачи данных;
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- требовать перечень своих персональных данных, обрабатываемых ООО "Группа компаний "АВА", и источник их получения;
- получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
- отозвать свое согласие на обработку персональных данных.
5.2.2. Субъект, персональные данные которого обрабатываются в ООО "Группа компаний "АВА", обязан:
- сообщать достоверную информацию о себе и предоставлять документы, содержащие персональные данные, состав которых установлен законодательством Российской Федерации и локальными нормативными документами Компании в объеме, необходимом для цели обработки;
- сообщать организации об уточнении (обновлении, изменении) своих персональных данных.
6. Принципы обработки персональных данных
6.1. Обработка персональных данных в ООО "Группа компаний "АВА" осуществляется на основе принципов:
- законности и справедливости целей и способов обработки персональных данных, соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных. Защита персональных данных основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты персональных данных;
- системности: обработка персональных данных осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных;
- комплексность: защита персональных данных строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Компании и других имеющихся в организации систем и средств защиты;
- непрерывность: защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки персональных данных, в том числе при проведении ремонтных и регламентных работ;
- своевременность: меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки;
- преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты персональных данных осуществляется на основании результатов анализа практики обработки персональных данных в Компании с учетом выявления новых способов и средств реализации угроз безопасности персональных данных, отечественного и зарубежного опыта в сфере защиты информации;
- персональная ответственность: ответственность за обеспечение безопасности персональных данных возлагается на работников в пределах их обязанностей, связанных с обработкой и защитой персональных данных;
- минимизация прав доступа: доступ к персональным данным предоставляется работникам только в объеме, необходимом для выполнения ими должностных обязанностей;
- гибкость: обеспечение выполнения функций защиты персональных данных при изменении характеристик функционирования информационных систем персональных данных Компании, а также объема и состава обрабатываемых персональных данных; - открытость алгоритмов и механизмов защиты: структура, технологии и алгоритмы функционирования системы защиты персональных данных Компании не дают возможности преодоления имеющихся в организации систем защиты возможными нарушителями безопасности персональных данных;
- научная обоснованность и техническая реализуемость: уровень мер по защите персональных данных определяется современным уровнем развития информационных технологий и средств защиты информации;
- специализация и профессионализм: реализация мер по обеспечению безопасности персональных данных и эксплуатация системы защиты персональных данных осуществляются работниками, имеющими необходимые для этого квалификацию и опыт;
- эффективность процедур отбора кадров и выбора контрагентов: кадровая политика Компании предусматривает тщательный подбор персонала и мотивацию работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности персональных данных; минимизация вероятности возникновения угрозы безопасности персональных данных, источники которых связаны с человеческим фактором, обеспечивается получением наиболее полной информации о контрагентах Компании до заключения договоров;
- наблюдаемость и прозрачность: меры по обеспечению безопасности персональных данных должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;
- непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты персональных данных, а результаты контроля регулярно анализируются.
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных,
- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные.
6.2. Уничтожение персональных данных либо обезличивание осуществляется по достижении целей их обработки или в случае утраты необходимости в их достижении, если срок хранения персональных данных не установлен законодательством Российской Федерации, другими документами, определяющими такой срок.
6.3. Обработка персональных данных осуществляется на основании условий, определенных законодательством Российской Федерации.
7. Порядок обработки персональных данных
7.1. Обработка персональных данных в ООО "Группа компаний "АВА" производится в соответствии с требованиями законодательства Российской Федерации и локальных нормативных актов Компании работниками структурных подразделений организации, осуществляющими такую обработку. К обработке персональных данных допускаются только те работники организации, в должностные обязанности которых входит обработка персональных данных. Указанные работники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей. Обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством Российской Федерации.
7.2. Обработка персональных данных в ООО "Группа компаний "АВА" включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
7.3. Обработка персональных данных может осуществляться с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).
7.4.Обработка персональных данных осуществляется путем:
- получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;
- предоставления субъектами персональных данных оригиналов необходимых документов;
- копирования оригиналов документов;
- получения заверенных в установленном порядке копий документов, содержащих персональные данные или копирования оригиналов документов;
- получения персональных данных при направлении запросов в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации;
- получения персональных данных из общедоступных источников;
- внесения сведений в учетные формы на бумажных и электронных носителях;
- формирования персональных данных в ходе кадровой работы;
- внесения персональных данных в информационные системы;
- использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой организацией деятельности.v
7.5. Передача персональных данных третьим лицам (в том числе трансграничная передача) допускается с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации. При передаче персональных данных третьим лицам в соответствии с заключенными договорами ООО "Группа компаний "АВА" обеспечивает обязательное выполнение требований законодательства Российской Федерации и нормативных актов Компании в области персональных данных. Передача персональных данных в уполномоченные органы исполнительной власти и организации (Министерство внутренних дел Российской Федерации, Министерство иностранных дел Российской Федерации, Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Федеральный фонд обязательного медицинского страхования Российской Федерации и другие) осуществляется в соответствии с требованиями законодательства Российской Федерации.
7.6. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с Федеральным законом «О персональных данных» и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. Трансграничная передача персональных данных на территорию иностранного государства, не являющегося стороной указанной Конвенции, осуществляется в соответствии с законодательными актами Российской Федерации при условии соответствия действующих в этом государстве норм права и применяемых мер безопасности персональных данных положениям Конвенции.
7.7. ООО "Группа компаний "АВА" вправе поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия субъектов персональных данных на основании заключаемого договора. Юридическое лицо или индивидуальный предприниматель, осуществляющие обработку персональных данных по поручению организации, обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации в области персональных данных. В случае, когда Компания на основании договора передает или поручает обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю, существенным условием договора должна быть обязанность обеспечения указанным лицом условий конфиденциальности и обеспечения безопасности персональных данных при их передаче или обработке.
7.8. ООО "Группа компаний "АВА" имеет право создавать в качестве источников персональных данных информационные системы, обрабатывающие персональные данные.
7.9. В Компании используются следующие информационные системы, обрабатывающие персональные данные субъектов персональных данных: корпоративная электронная почта; система электронного документооборота; система согласования проектной документации; система поддержки рабочего места пользователя; система нормативно-справочной информации; система управления закупочной деятельностью; система управления персоналом; система управления карьерой; система контроля удаленным доступом; корпоративный сайт и информационный портал; система «Битрикс 24».
7.10. При передаче персональных данных субъекта персональных данных, работники Компании, осуществляющие обработку персональных данных, должны соблюдать следующие требования: - не сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральным законом; - не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия; - предупредить лиц, получающих персональные данные субъекта персональных данных о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что правило соблюдено. Лица, получающие персональные данные субъекта персональных данных, обязаны соблюдать режим конфиденциальности; - разрешать доступ к персональным данным субъекта персональных данных только лицам, определенным приказом ООО "Группа компаний "АВА", при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций; - не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работников трудовой функции; - передавать персональные данные субъекта персональных данных представителям субъекта персональных данных в порядке, установленном Трудовым кодексом Российской Федерации, и ограничить эту информацию только теми персональными данными субъекта персональных данных, которые необходимы для выполнения указанными представителями их функций; - передача Компанией персональных данных или ее представителей третьим лицам может допускаться только в случаях, установленных федеральным законом.
7.11. ООО "Группа компаний "АВА" при обращении или по запросу субъекта персональных данных либо его представителя, а также по запросу Роскомнадзора, инициирует блокировку неправомерно обрабатываемых персональных данных этого субъекта с момента обращения или получения запроса на период проверки. В случае выявления неправомерной обработки персональных данных в Компании или лицом, действующим по поручению Компании, в срок, не превышающий трех рабочих дней с даты этого выявления, в Компании прекращают неправомерную обработку персональных данных или обеспечивают прекращение неправомерной обработки. В случае если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, такие персональные данные уничтожаются в Компании или Компания обеспечивает их уничтожение в организациях, осуществляющих обработку этих данных на основании договоров на оказание соответствующих услуг Компании.
7.12. ООО "Группа компаний "АВА" на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений.
7.13. По достижении цели обработки персональных данных в ООО "Группа компаний "АВА" обработка персональных данных прекращается, и эти персональные данные уничтожаются. Исключения:
- персональные данные должны храниться длительное время в силу требований нормативных правовых актов;
- лицо, направившее резюме для рассмотрения себя в качестве кандидатуры для замещения вакантных должностей в ООО "Группа компаний "АВА", желает остаться в кадровом резерве Компании.
7.14. В случае отзыва субъектом персональных данных своего согласия на обработку персональных данных в организации прекращают их обработку в срок, не превышающий тридцати дней с даты, поступления отзыва.
7.15. ООО "Группа компаний "АВА" по запросу субъекта персональных данных или его представителя сообщают информацию о наличии персональных данных, относящихся к субъекту. По запросу субъекта персональных данных или его представителя в Компании знакомят субъекта персональных данных или его представителя с этими персональными данными в течение тридцати дней с даты, получения запроса.
7.16. При сборе, обработке и хранении персональных данных хранение и защита персональных данных, как на бумажных, так и на электронных (автоматизированных) носителях информации, осуществляется в порядке, исключающем их утрату или их неправомерное использование.
7.17. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону, факсу, электронной почте.
8. Ответы на запросы субъектов на доступ к персональным данным. Актуализация, исправление, удаление и уничтожение персональных данных
8.1. Сведения, указанные в части 7 статьи 14 Федерального закона «О персональных данных», предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Сведения предоставляются в доступной форме, в них не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Федерального закона «О персональных данных» все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ. Запрос должен содержать данные основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения, подтверждающие участие субъекта персональных данных в отношениях с ООО "Группа компаний "АВА" (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Компанией, подпись (в том числе электронная) субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона «О персональных данных» в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
8.2. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, ООО "Группа компаний "АВА" вносит в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, ООО "Группа компаний "АВА" уничтожает такие персональные данные. Компания уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
8.3. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных ООО "Группа компаний "АВА" прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если Компания не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами. В случае отсутствия возможности уничтожения персональных данных в течение вышеуказанного срока организация осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами. В случае отзыва субъектом персональных данных согласия на обработку персональных данных ООО "Группа компаний "АВА" вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в части 2 статьи 9 Федерального закона «О персональных данных».
9.1. ООО "Группа компаний "АВА" принимает правовые, организационные и технические меры (или обеспечивает их принятие), необходимые и достаточные для обеспечения исполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных», и принятыми в соответствии с ним нормативными правовыми актами, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
9.2. Состав указанных в пункте 10.1 Политики мер, включая их содержание и выбор средств защиты персональных данных, определяется, а внутренние регулятивные документы об обработке и защите персональных данных утверждаются (издаются) ООО "Группа компаний "АВА" исходя из требований:
- Конституции Российской Федерации; - Гражданского кодекса Российской Федерации;
- Трудового кодекса Российской Федерации;
- Налогового кодекса Российской Федерации;
- Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных»;
- постановления Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- приказа ФСТЭК России от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- постановления Правительства Российской Федерации от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- постановления Правительства Российской Федерации РФ от 6 июля 2008 г. №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- рекомендаций Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных»;
- иных нормативных правовых актов Российской Федерации об обработке и защите персональных данных; а так же:
- договоров, заключаемых между ООО "Группа компаний "АВА" и субъектами персональных данных;
- согласиями субъектов на обработку персональных данных.
9.3.При обработке персональных данных Компанией, в частности, применяются следующие меры:
1) назначение ответственного за организацию обработки персональных данных, являющегося руководителем (генеральным директором, директором, президентом…) либо одним из заместителей руководителя организации, определение его компетенций;
2) утверждение (издание) внутренних регулятивных документов по вопросам обработки и защиты персональных данных, в том числе устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений;
3) назначение должностных лиц, ответственных за обеспечение безопасности персональных данных в подразделениях и информационных системах: доступ к обрабатываемым в Компании персональным данным имеют лица, уполномоченные приказом ООО "Группа компаний "АВА", лица, которым Компания поручила обработку персональных данных на основании заключенного договора, должностной инструкции, а также лица, чьи персональные данные подлежат обработке;
4) ознакомление под роспись допущенных к обработке персональных данных работников с документами Компании, устанавливающими порядок обработки персональных данных, включая документы, устанавливающие права и обязанности конкретных работников;
5) организация обучения и проведение методической работы с работниками, осуществляющими обработку персональных данных в Компании;
6) оборудование помещений, в которых обрабатываются персональные данные, замковыми устройствами, охранной сигнализацией или видеонаблюдением;
7) для приема посетителей выделение зон ожидания, исключающих несанкционированный доступ к обрабатываемым персональным данным.
9.4. Обеспечение безопасности персональных данных в Компании при их обработке в информационных системах достигается в организации, в частности, путем:
1) определения угроз безопасности персональных данных. Тип актуальных угроз безопасности персональных данных и необходимый уровень защищенности персональных данных определяются в соответствии с требованиями законодательства и с учетом проведения оценки возможного вреда;
2) определения в установленном порядке состава и содержания мер по обеспечению безопасности персональных данных, выбора средств защиты информации. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности Компанией могут разрабатываться компенсирующие меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных. В этом случае в ходе разработки систем защиты проводится обоснование применения компенсирующих мер для обеспечения персональных данных;
3) применения организационных и технических мер по обеспечению безопасности персональных данных, необходимых для выполнения требований к защите персональных данных, обеспечивающих определенные уровни защищенности персональных данных, включая применение средств защиты информации, прошедших процедуру оценки соответствия, когда применение таких средств необходимо для нейтрализации актуальных угроз;
4) установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям и сети Интернет без применения установленных в Компании мер по обеспечению безопасности персональных данных.
9.5. Обеспечение защиты персональных данных в ООО "Группа компаний "АВА" при их обработке, осуществляемой без использования средств автоматизации, достигается, в частности, путем:
1) создание необходимых условий для работы с материальными носителями и организация их учета;
2) организация хранения материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
3) обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации;
4) обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях;
5) обеспечение защиты документов, содержащих персональные данные, на бумажных и иных материальных носителях при их передаче третьим лицам с использованием услуг почтовой связи.
6) использования отдельных материальных носителей для обработки каждой категории персональных данных;
7) принятия мер по обеспечению раздельной обработки персональных данных при несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных;
8) соблюдения требований:
- уточнению персональных данных;
- уничтожению или обезличиванию части персональных данных;
- использованию типовых форм документов, характер информации в которых предполагается или допускается включение в них персональных данных;
- ведению журналов, содержащих персональных данных, необходимых для выдачи однократных пропусков субъектам персональных данных в занимаемые Компанией здания и помещения.
9.6. ООО "Группа компаний "АВА", в том числе, осуществляются:
- внутренний контроль соответствия обработки персональных данных Федеральному закону от 27 июля 2006 года №152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике и внутренним регулятивным документам Компании;
- оценка эффективности принимаемых и реализованных мер по обеспечению безопасности персональных данных;
- учет машинных носителей персональных данных, обеспечение их сохранности;
- обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к обрабатываемым персональным данным, а также обеспечение регистрации и учета действий, совершаемых с персональными данными;
- организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных, уровня защищенности информационных систем персональных данных.
10. Заключительные положения
10.1. Настоящая Политика является внутренним общедоступным документом ООО "Группа компаний "АВА" и подлежит размещению на веб-сайте и в общей папке внутреннего ресурса ООО "Группа компаний "АВА" – в целях ознакомления с ней неограниченного круга лиц.
10.2. Политика утверждается и вводится в действие приказом ООО "Группа компаний "АВА".
10.3. Политика действует бессрочно после утверждения и до ее замены новой версией.
10.4. Внесение изменений (дополнений) в Политику, включая приложения к ней, производится ООО "Группа компаний "АВА" в одностороннем порядке.
10.5. Настоящая Политика подлежит изменению в случае принятия нормативных актов, устанавливающих новые требования по обработке и защите персональных данных или внесения изменений в действующие нормативные правовые акты.
10.6. Все изменения (дополнения), вносимые ООО "Группа компаний "АВА" в Политику, вступают в силу и становятся обязательными с даты подписания приказа об утверждении новой версии Политики и последующего размещения актуальной версии на веб-сайте и в общей папке внутреннего ресурса ООО "Группа компаний "АВА" - в течение 1 рабочего дня.
10.7. Политика распространяется на все действия Компании, в рамках которых осуществляется обработка персональных данных, как с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и без использования таких средств.
10.8. Положения Политики распространяются на всех сотрудников ООО "Группа компаний "АВА" (включая работников по трудовым договорам и лиц, оказывающих услуги по договорам гражданско-правового характера) и все структурные подразделения Компании, включая обособленные подразделения. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных Компанией, а также в случаях передачи им в установленном порядке персональные данные на основании соглашений, договоров, поручений на обработку.
10.9. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных в ООО "Группа компаний "АВА".
10.10. Порядок и сроки хранения определяются Федеральным законом от 22.10.2004 №125-ФЗ «Об архивном деле в Российской Федерации». Персональные данные относятся к конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.
10.11. Локальные нормативные акты и другие документы, регламентирующие обработку персональных данных в ООО "Группа компаний "АВА", разрабатываются с учетом положений настоящей Политики.
10.12. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов ООО "Группа компаний "АВА" в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.
Яндекс метрика
Мы используем сервисы Яндекс.Метрика, которые позволяют нам анализировать активность посетителей сайта и улучшать его работу. Эти сервисы получают данные на анонимной основе и не собирают сведения о личности посетителя сайта, не идентифицируют его как физическое лицо (не устанавливают личность). Вы можете отказаться от использования файлов cookie, выбрав соответствующие настройки в браузере. Также вы можете использовать инструмент — Блокировщик Яндекс.Метрики
Полученные сведения могут быть использованы нами как владельцами сайта, так и сторонними организациями – нашими партнерами для улучшения работы сайта и его разделов. Эти технологии позволяют оценить эффективность рекламы, которую мы размещаем с помощью Яндекс.Метрика. Политика конфиденциальности Яндекс: https://legal.yandex.com/privacy/
Условия использования сервиса API Яндекс.Метрика: https://yandex.ru/legal/metrica_api/index.html
7.1. Обработка персональных данных в ООО "Группа компаний "АВА" производится в соответствии с требованиями законодательства Российской Федерации и локальных нормативных актов Компании работниками структурных подразделений организации, осуществляющими такую обработку. К обработке персональных данных допускаются только те работники организации, в должностные обязанности которых входит обработка персональных данных. Указанные работники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей. Обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством Российской Федерации.
7.2. Обработка персональных данных в ООО "Группа компаний "АВА" включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
7.3. Обработка персональных данных может осуществляться с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).
7.4.Обработка персональных данных осуществляется путем:
- получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;
- предоставления субъектами персональных данных оригиналов необходимых документов;
- копирования оригиналов документов;
- получения заверенных в установленном порядке копий документов, содержащих персональные данные или копирования оригиналов документов;
- получения персональных данных при направлении запросов в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации;
- получения персональных данных из общедоступных источников;
- внесения сведений в учетные формы на бумажных и электронных носителях;
- формирования персональных данных в ходе кадровой работы;
- внесения персональных данных в информационные системы;
- использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой организацией деятельности.v
7.5. Передача персональных данных третьим лицам (в том числе трансграничная передача) допускается с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации. При передаче персональных данных третьим лицам в соответствии с заключенными договорами ООО "Группа компаний "АВА" обеспечивает обязательное выполнение требований законодательства Российской Федерации и нормативных актов Компании в области персональных данных. Передача персональных данных в уполномоченные органы исполнительной власти и организации (Министерство внутренних дел Российской Федерации, Министерство иностранных дел Российской Федерации, Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Федеральный фонд обязательного медицинского страхования Российской Федерации и другие) осуществляется в соответствии с требованиями законодательства Российской Федерации.
7.6. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с Федеральным законом «О персональных данных» и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. Трансграничная передача персональных данных на территорию иностранного государства, не являющегося стороной указанной Конвенции, осуществляется в соответствии с законодательными актами Российской Федерации при условии соответствия действующих в этом государстве норм права и применяемых мер безопасности персональных данных положениям Конвенции.
7.7. ООО "Группа компаний "АВА" вправе поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия субъектов персональных данных на основании заключаемого договора. Юридическое лицо или индивидуальный предприниматель, осуществляющие обработку персональных данных по поручению организации, обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации в области персональных данных. В случае, когда Компания на основании договора передает или поручает обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю, существенным условием договора должна быть обязанность обеспечения указанным лицом условий конфиденциальности и обеспечения безопасности персональных данных при их передаче или обработке.
7.8. ООО "Группа компаний "АВА" имеет право создавать в качестве источников персональных данных информационные системы, обрабатывающие персональные данные.
7.9. В Компании используются следующие информационные системы, обрабатывающие персональные данные субъектов персональных данных: корпоративная электронная почта; система электронного документооборота; система согласования проектной документации; система поддержки рабочего места пользователя; система нормативно-справочной информации; система управления закупочной деятельностью; система управления персоналом; система управления карьерой; система контроля удаленным доступом; корпоративный сайт и информационный портал; система «Битрикс 24».
7.10. При передаче персональных данных субъекта персональных данных, работники Компании, осуществляющие обработку персональных данных, должны соблюдать следующие требования: - не сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральным законом; - не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия; - предупредить лиц, получающих персональные данные субъекта персональных данных о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что правило соблюдено. Лица, получающие персональные данные субъекта персональных данных, обязаны соблюдать режим конфиденциальности; - разрешать доступ к персональным данным субъекта персональных данных только лицам, определенным приказом ООО "Группа компаний "АВА", при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций; - не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работников трудовой функции; - передавать персональные данные субъекта персональных данных представителям субъекта персональных данных в порядке, установленном Трудовым кодексом Российской Федерации, и ограничить эту информацию только теми персональными данными субъекта персональных данных, которые необходимы для выполнения указанными представителями их функций; - передача Компанией персональных данных или ее представителей третьим лицам может допускаться только в случаях, установленных федеральным законом.
7.11. ООО "Группа компаний "АВА" при обращении или по запросу субъекта персональных данных либо его представителя, а также по запросу Роскомнадзора, инициирует блокировку неправомерно обрабатываемых персональных данных этого субъекта с момента обращения или получения запроса на период проверки. В случае выявления неправомерной обработки персональных данных в Компании или лицом, действующим по поручению Компании, в срок, не превышающий трех рабочих дней с даты этого выявления, в Компании прекращают неправомерную обработку персональных данных или обеспечивают прекращение неправомерной обработки. В случае если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, такие персональные данные уничтожаются в Компании или Компания обеспечивает их уничтожение в организациях, осуществляющих обработку этих данных на основании договоров на оказание соответствующих услуг Компании.
7.12. ООО "Группа компаний "АВА" на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений.
7.13. По достижении цели обработки персональных данных в ООО "Группа компаний "АВА" обработка персональных данных прекращается, и эти персональные данные уничтожаются. Исключения:
- персональные данные должны храниться длительное время в силу требований нормативных правовых актов;
- лицо, направившее резюме для рассмотрения себя в качестве кандидатуры для замещения вакантных должностей в ООО "Группа компаний "АВА", желает остаться в кадровом резерве Компании.
7.14. В случае отзыва субъектом персональных данных своего согласия на обработку персональных данных в организации прекращают их обработку в срок, не превышающий тридцати дней с даты, поступления отзыва.
7.15. ООО "Группа компаний "АВА" по запросу субъекта персональных данных или его представителя сообщают информацию о наличии персональных данных, относящихся к субъекту. По запросу субъекта персональных данных или его представителя в Компании знакомят субъекта персональных данных или его представителя с этими персональными данными в течение тридцати дней с даты, получения запроса.
7.16. При сборе, обработке и хранении персональных данных хранение и защита персональных данных, как на бумажных, так и на электронных (автоматизированных) носителях информации, осуществляется в порядке, исключающем их утрату или их неправомерное использование.
7.17. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону, факсу, электронной почте.
8. Ответы на запросы субъектов на доступ к персональным данным. Актуализация, исправление, удаление и уничтожение персональных данных
8.1. Сведения, указанные в части 7 статьи 14 Федерального закона «О персональных данных», предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Сведения предоставляются в доступной форме, в них не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Федерального закона «О персональных данных» все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ. Запрос должен содержать данные основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения, подтверждающие участие субъекта персональных данных в отношениях с ООО "Группа компаний "АВА" (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Компанией, подпись (в том числе электронная) субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона «О персональных данных» в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
8.2. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, ООО "Группа компаний "АВА" вносит в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, ООО "Группа компаний "АВА" уничтожает такие персональные данные. Компания уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
8.3. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных ООО "Группа компаний "АВА" прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если Компания не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами. В случае отсутствия возможности уничтожения персональных данных в течение вышеуказанного срока организация осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами. В случае отзыва субъектом персональных данных согласия на обработку персональных данных ООО "Группа компаний "АВА" вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в части 2 статьи 9 Федерального закона «О персональных данных».
- Меры для защиты персональных данных
9.1. ООО "Группа компаний "АВА" принимает правовые, организационные и технические меры (или обеспечивает их принятие), необходимые и достаточные для обеспечения исполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных», и принятыми в соответствии с ним нормативными правовыми актами, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
9.2. Состав указанных в пункте 10.1 Политики мер, включая их содержание и выбор средств защиты персональных данных, определяется, а внутренние регулятивные документы об обработке и защите персональных данных утверждаются (издаются) ООО "Группа компаний "АВА" исходя из требований:
- Конституции Российской Федерации; - Гражданского кодекса Российской Федерации;
- Трудового кодекса Российской Федерации;
- Налогового кодекса Российской Федерации;
- Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных»;
- постановления Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- приказа ФСТЭК России от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- постановления Правительства Российской Федерации от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- постановления Правительства Российской Федерации РФ от 6 июля 2008 г. №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- рекомендаций Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных»;
- иных нормативных правовых актов Российской Федерации об обработке и защите персональных данных; а так же:
- договоров, заключаемых между ООО "Группа компаний "АВА" и субъектами персональных данных;
- согласиями субъектов на обработку персональных данных.
9.3.При обработке персональных данных Компанией, в частности, применяются следующие меры:
1) назначение ответственного за организацию обработки персональных данных, являющегося руководителем (генеральным директором, директором, президентом…) либо одним из заместителей руководителя организации, определение его компетенций;
2) утверждение (издание) внутренних регулятивных документов по вопросам обработки и защиты персональных данных, в том числе устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений;
3) назначение должностных лиц, ответственных за обеспечение безопасности персональных данных в подразделениях и информационных системах: доступ к обрабатываемым в Компании персональным данным имеют лица, уполномоченные приказом ООО "Группа компаний "АВА", лица, которым Компания поручила обработку персональных данных на основании заключенного договора, должностной инструкции, а также лица, чьи персональные данные подлежат обработке;
4) ознакомление под роспись допущенных к обработке персональных данных работников с документами Компании, устанавливающими порядок обработки персональных данных, включая документы, устанавливающие права и обязанности конкретных работников;
5) организация обучения и проведение методической работы с работниками, осуществляющими обработку персональных данных в Компании;
6) оборудование помещений, в которых обрабатываются персональные данные, замковыми устройствами, охранной сигнализацией или видеонаблюдением;
7) для приема посетителей выделение зон ожидания, исключающих несанкционированный доступ к обрабатываемым персональным данным.
9.4. Обеспечение безопасности персональных данных в Компании при их обработке в информационных системах достигается в организации, в частности, путем:
1) определения угроз безопасности персональных данных. Тип актуальных угроз безопасности персональных данных и необходимый уровень защищенности персональных данных определяются в соответствии с требованиями законодательства и с учетом проведения оценки возможного вреда;
2) определения в установленном порядке состава и содержания мер по обеспечению безопасности персональных данных, выбора средств защиты информации. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности Компанией могут разрабатываться компенсирующие меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных. В этом случае в ходе разработки систем защиты проводится обоснование применения компенсирующих мер для обеспечения персональных данных;
3) применения организационных и технических мер по обеспечению безопасности персональных данных, необходимых для выполнения требований к защите персональных данных, обеспечивающих определенные уровни защищенности персональных данных, включая применение средств защиты информации, прошедших процедуру оценки соответствия, когда применение таких средств необходимо для нейтрализации актуальных угроз;
4) установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям и сети Интернет без применения установленных в Компании мер по обеспечению безопасности персональных данных.
9.5. Обеспечение защиты персональных данных в ООО "Группа компаний "АВА" при их обработке, осуществляемой без использования средств автоматизации, достигается, в частности, путем:
1) создание необходимых условий для работы с материальными носителями и организация их учета;
2) организация хранения материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
3) обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации;
4) обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях;
5) обеспечение защиты документов, содержащих персональные данные, на бумажных и иных материальных носителях при их передаче третьим лицам с использованием услуг почтовой связи.
6) использования отдельных материальных носителей для обработки каждой категории персональных данных;
7) принятия мер по обеспечению раздельной обработки персональных данных при несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных;
8) соблюдения требований:
- уточнению персональных данных;
- уничтожению или обезличиванию части персональных данных;
- использованию типовых форм документов, характер информации в которых предполагается или допускается включение в них персональных данных;
- ведению журналов, содержащих персональных данных, необходимых для выдачи однократных пропусков субъектам персональных данных в занимаемые Компанией здания и помещения.
9.6. ООО "Группа компаний "АВА", в том числе, осуществляются:
- внутренний контроль соответствия обработки персональных данных Федеральному закону от 27 июля 2006 года №152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике и внутренним регулятивным документам Компании;
- оценка эффективности принимаемых и реализованных мер по обеспечению безопасности персональных данных;
- учет машинных носителей персональных данных, обеспечение их сохранности;
- обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к обрабатываемым персональным данным, а также обеспечение регистрации и учета действий, совершаемых с персональными данными;
- организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных, уровня защищенности информационных систем персональных данных.
10. Заключительные положения
10.1. Настоящая Политика является внутренним общедоступным документом ООО "Группа компаний "АВА" и подлежит размещению на веб-сайте и в общей папке внутреннего ресурса ООО "Группа компаний "АВА" – в целях ознакомления с ней неограниченного круга лиц.
10.2. Политика утверждается и вводится в действие приказом ООО "Группа компаний "АВА".
10.3. Политика действует бессрочно после утверждения и до ее замены новой версией.
10.4. Внесение изменений (дополнений) в Политику, включая приложения к ней, производится ООО "Группа компаний "АВА" в одностороннем порядке.
10.5. Настоящая Политика подлежит изменению в случае принятия нормативных актов, устанавливающих новые требования по обработке и защите персональных данных или внесения изменений в действующие нормативные правовые акты.
10.6. Все изменения (дополнения), вносимые ООО "Группа компаний "АВА" в Политику, вступают в силу и становятся обязательными с даты подписания приказа об утверждении новой версии Политики и последующего размещения актуальной версии на веб-сайте и в общей папке внутреннего ресурса ООО "Группа компаний "АВА" - в течение 1 рабочего дня.
10.7. Политика распространяется на все действия Компании, в рамках которых осуществляется обработка персональных данных, как с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и без использования таких средств.
10.8. Положения Политики распространяются на всех сотрудников ООО "Группа компаний "АВА" (включая работников по трудовым договорам и лиц, оказывающих услуги по договорам гражданско-правового характера) и все структурные подразделения Компании, включая обособленные подразделения. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных Компанией, а также в случаях передачи им в установленном порядке персональные данные на основании соглашений, договоров, поручений на обработку.
10.9. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных в ООО "Группа компаний "АВА".
10.10. Порядок и сроки хранения определяются Федеральным законом от 22.10.2004 №125-ФЗ «Об архивном деле в Российской Федерации». Персональные данные относятся к конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.
10.11. Локальные нормативные акты и другие документы, регламентирующие обработку персональных данных в ООО "Группа компаний "АВА", разрабатываются с учетом положений настоящей Политики.
10.12. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов ООО "Группа компаний "АВА" в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.
Яндекс метрика
Мы используем сервисы Яндекс.Метрика, которые позволяют нам анализировать активность посетителей сайта и улучшать его работу. Эти сервисы получают данные на анонимной основе и не собирают сведения о личности посетителя сайта, не идентифицируют его как физическое лицо (не устанавливают личность). Вы можете отказаться от использования файлов cookie, выбрав соответствующие настройки в браузере. Также вы можете использовать инструмент — Блокировщик Яндекс.Метрики
Полученные сведения могут быть использованы нами как владельцами сайта, так и сторонними организациями – нашими партнерами для улучшения работы сайта и его разделов. Эти технологии позволяют оценить эффективность рекламы, которую мы размещаем с помощью Яндекс.Метрика. Политика конфиденциальности Яндекс: https://legal.yandex.com/privacy/
Условия использования сервиса API Яндекс.Метрика: https://yandex.ru/legal/metrica_api/index.html