Войти

Политика обработки персональных данных
ООО «Инвестиционная платформа ГрандБазар»

ОБНОВЛЕНО: 11 Июля, 2023

1. Общие положения

1.1. В настоящем документе определена политика ООО «Инвестиционная платформа ГрандБазар» (далее – Оператор) в отношении обработки персональных данных (далее – Политика).

1.2. Политика разработана в соответствии с положениями нормативных актов, указанных в разделе 9 Политики, а также в соответствии с иными федеральными законами и подзаконными актами Российской Федерации, определяющими случаи и особенности обработки персональных данных и обеспечения безопасности и конфиденциальности такой информации (далее – Законодательство о персональных данных).

1.3. Политика разработана в целях реализации требований законодательства о персональных данных и распространяется на все действия и операции, совершаемые Оператором с персональными данными, как с использованием средств автоматизации, так и без использования таковых.

1.4. В соответствии с настоящей Политикой Оператор осуществляет обработку и защиту персональных данных СПДн, в том числе, но не ограничиваясь: персональных данных контрагентов Оператора, полученных Оператором в рамках его деятельности, а также персональных данных иных лиц, указанных в разделе 4 настоящей Политики.

1.5. По общему правилу Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия Субъекта персональных данных (если иное не предусмотрено применимым законодательством). Передача ПДн третьим лицам осуществляется исключительно в отношении определенных ПДн и в установленном настоящей Политикой порядке.

1.6. В случаях, когда Оператор поручает обработку персональных данных другим лицам, им соблюдаются все требования Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», предусмотренные для поручения обработки ПДн третьими лицами.

1.7. Обработка персональных данных Оператором должна ограничиваться достижением законных, конкретных и заранее определенных целей. Обработке подлежат только те персональные данные, и только в том объеме, которые отвечают целям их обработки.

1.8. Политика устанавливает:

  • Цели обработки персональных данных;
  • Классификацию персональных данных и Субъектов ПДн;
  • Общие принципы обработки персональных данных;
  • Основных участников системы управления процессом обработки персональных данных;
  • Основные подходы к системе управления процессом обработки персональных данных.

1.9. Положения настоящей Политики являются основой для организации работы по обработке персональных данных Оператором, в том числе, для разработки внутренних нормативных документов (регламентов, методик, технологических схем и пр.), регламентирующих процесс обработки персональных данных Оператором.

1.10. Положения настоящей Политики являются обязательными для исполнения всеми Работниками Оператора, имеющими доступ к персональным данным.

1.11. Ознакомление Работника Оператора с положениями настоящей Политики осуществляется посредством рассылки Политики по корпоративной почте, а также под личную подпись Работника в листе ознакомления с приказом об утверждении или изменении Политики обработки персональных данных.

1.12. Оператор обязуется соблюдать нормы законодательства Российской федерации в области защиты и обработки персональных данных.

1.13. Оператор обязуется соответствовать применимому законодательству в области защиты ПДн, а также условиям договоров, заключенных с контрагентами.

2. Основные термины, понятия и определения

В настоящей Политике используются следующие основные термины и определения:

2.1. Близкие родственники – родственники по прямой восходящей и нисходящей линии (родители и дети, дедушки, бабушки и внуки), полнородные и неполнородные (имеющие общих отца или мать) братья и сестры.

2.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.3. Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.4. Контрагент – юридическое лицо, индивидуальный предприниматель, а также физическое лицо, занимающееся в установленном законодательством Российской Федерации порядке частной практикой, заключившее или намеревающееся заключить с Оператором договор.

2.5. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному Субъекту ПДн.

2.6. Обработка персональных данных – любое действие (операция) Оператора или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (Предоставление, доступ), Обезличивание, Блокирование, удаление и Уничтожение персональных данных.

2.7. Оператор персональных данных (Оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках положений настоящей Политики ООО «Инвестиционная платформа ГрандБазар» выступает Оператором персональных данных.

2.8. Партнеры Оператора – организации и индивидуальные предприниматели, действующие от своего имени или от имени Оператора и продвигающие услуги/продукты Оператора на основании заключенных с ним посреднических договоров, договоров оказания услуг по привлечению контрагентов и других договоров/соглашений.

2.9. Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (Субъекту персональных данных).

2.10. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.11. Представитель Контрагента – физическое лицо, персональные данные которого получены Оператором и:

  • Входящее в органы управления Контрагента и/или
  • Являющееся владельцем/учредителем/акционером/участником Контрагента и/или
  • Действующее от имени Контрагента на основании доверенности или указанное в карточке с образцами подписей и оттиска печати Контрагента.

2.12. Работник – физическое лицо, заключившее с Оператором трудовой договор.

2.13. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.14. Соискатель – физическое лицо, претендующее на вакантную должность Оператора, персональные данные которого получены Оператором.

2.15. Субъект персональных данных (СПДн) – физическое лицо, которое прямо или косвенно определено с помощью персональных данных, в отношение которого осуществляется обработка персональных данных. В рамках настоящей Политики к СПДн относятся физические лица, действующие от собственного имени, а также физические лица-представители юридических лиц, уполномоченные действовать от имени таких юридических лиц на основании устава, доверенности, трудового договора, гражданско-правового договора или по другим основаниям.

2.16. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.17. Сайт – веб-сайт Оператора, расположенный в сети Интернет по адресу https://ru.grandbazar.io

3. Цели обработки персональных данных

Оператор осуществляет обработку персональных данных в следующих целях:

3.1. Обеспечение соблюдения требований действующего законодательства Российской Федерации, Устава и локальных нормативных актов Оператора;

3.2. Предупреждение или пресечение незаконных и (или) несанкционированных действий третьих лиц;

3.3. Участие Оператора в процедурах закупок потенциальных Контрагентов;

3.4. Исполнение обязательств Оператора в ходе исполнения Оператором соглашений и договоров, заключенных с самим Субъектом ПДн или с юридическим лицом, от имени которого Субъект ПД заключил и исполняет указанные соглашения и договоры;

3.5. Идентификация стороны в рамках, соглашений и договоров, заключенных Оператором;

3.6. Обеспечение связи с Субъектом ПДн, в том числе направление уведомлений, сообщений, запросов и информации, касающихся исполнения соглашений и договоров, а также обработка запросов и заявок от Субъекта ПДн;

3.7. Предоставление Субъекту персональных данных информации об оказываемых Оператором услугах, о разработке Оператором новых продуктов и услуг;

3.8. Направление Субъекту ПДн информационных и (или) рекламных сообщений (в том числе таргетированных рекламных материалов) об услугах, продуктах, о событиях в деятельности Оператора, о мероприятиях, организуемых Оператором и (или) Партнерами для контрагентов и (или) потенциальных контрагентов (в том числе семинарах, конференциях, вебинарах, розыгрышах, акциях), а также товарах, работах Оператора (если применимо), а также относительно участия контрагентов в этих мероприятиях; о товарах, работах, услугах Партнеров и третьих лиц;

3.9. Улучшение качества оказываемых услуг, предоставляемых продуктов, удобства их использования, разработка новых продуктов и услуг;

3.10. Проведение статистических и иных исследований на основе обезличенных данных;

3.11. Ведение кадровой работы и организации учета работников Оператора;

3.12. Привлечение и отбор Соискателей на работу у Оператора и учёт в кадровом резерве;

3.13. Формирование статистической отчетности;

3.14. Осуществление Оператором административно-хозяйственной деятельности;

3.15. Регулирование трудовых и иных, непосредственно связанных с ними отношений.

4. Классификация персональных данных и Субъектов персональных данных

4.1. К персональным данным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту ПДн), обрабатываемая Оператором для достижения заранее определенных целей, в том числе, но не ограничиваясь:

  • Фамилия, имя, отчество;
  • Паспортные данные;
  • ИНН
  • СНИЛС
  • Дата и место рождения;
  • Адрес регистрации и проживания;
  • Номер телефона;
  • Адрес электронной почты;
  • Информация о наличии или отсутствии судимости;
  • Информация об образовании.

4.2. Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни. Обработка сведений о состоянии здоровья осуществляется Оператором в соответствии с Трудовым кодексом российской Федерации, Федеральным законом № 326-Фз от 29.11.2010 «Об обязательном медицинском страховании в Российской Федерации», а также пунктом 2.3 части 2 статьи 10 Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных».

4.3. Оператор осуществляет обработку персональных данных следующих категорий Субъектов ПДн:

  • Физические лица, являющиеся Соискателями;
  • Физические лица, являющиеся работниками Оператора и их близкими родственниками;
  • Физические лица, являющиеся уволенными работниками Оператора;
  • Физические лица, имеющие целью заключить или заключившие с Оператором договор гражданско-правового характера;
  • Физические лица, представляющие интересы контрагента (Представители контрагента);
  • Представители юридических лиц и физические лица, приобретшие или намеревающиеся приобрести услуги, использующие или намеревающиеся использовать продукты Оператора, услуги третьих лиц при посредничестве Оператора или не имеющие с Оператором договорных отношений при условии, что их персональные данные включены в автоматизированные системы Оператора и обрабатываются в соответствии с Законодательством о персональных данных;
  • Представители юридических лиц и физические лица, не относящиеся к контрагентам, заключившие или намеревающиеся заключить с Оператором договоры в связи с осуществлением Оператором административно-хозяйственной деятельности при условии, что их персональные данные включены в автоматизированные системы Оператора и обрабатываются в соответствии с Законодательством о персональных данных;
  • Физические лица, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает их прав и соответствует требованиям, установленным Законодательством о персональных данных;
  • Физические лица, посещающие Сайт и взаимодействующие с его функционалом, предоставляя Оператору в ходе такого взаимодействия ПДн;
  • Иные юридические и физические лица, выразившие согласие на обработку Оператором их персональных данных или физические лица, обработка персональных данных которых необходима Оператору для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей.

4.5. Оператор не проверяет достоверность персональных данных, предоставляемых Субъектом ПДн, и не имеет возможности оценивать его дееспособность. Оператор исходит из того, что Субъект ПДн предоставляет достоверные и достаточные персональные данные и поддерживает их в актуальном состоянии. Оператор не осуществляет обработку ПДн несовершеннолетних лиц.

4.6. Оператор может собирать определенную информацию автоматически с помощью средств сбора информации, таких как файлы cookie. Эта информация может включать в себя адреса интернет-протокола (IP), тип браузера, поставщика интернет-услуг (ISP), ссылающиеся/выходящие страницы, операционную систему, отметку даты/времени, данные о потоке кликов, целевую страницу и ссылающийся URL. Оператор использует как сеансовые, так и постоянные файлы cookie. Оператор может автоматически собирать информацию об использовании функций Сайта, о функциональности Сайта, частоте посещений и другую информацию, связанную со взаимодействием с Сайтом.

5. Общие принципы обработки персональных данных

5.1. Оператор осуществляет обработку персональных данных на основе следующих общих принципов:

5.1.1. Законности заранее определенных конкретных целей и способов обработки персональных данных;

5.1.2. Обеспечения надлежащей защиты персональных данных;

5.1.3. Соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;

5.1.4. Соответствия объема, характера и способов обработки персональных данных целям обработки персональных данных;

5.1.5. Достоверности и точности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

5.1.6. Недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

5.1.7. Хранения персональных данных в форме, позволяющей определить Субъекта ПДн, не дольше, чем этого требуют цели их обработки;

5.1.8. Уничтожения или обезличивания персональных данных по достижении целей их обработки, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект ПДн;

5.1.9. Обеспечения конфиденциальности и безопасности обрабатываемых персональных данных.

5.2. В рамках обработки персональных данных для Субъекта ПДн и Оператора определены следующие права.

5.2.1. Субъект персональных данных имеет право:

  • Обращаться к Оператору для реализации нижеуказанных прав по адресу электронной почты – info@grandbazar.io.
  • Получать информацию, касающуюся обработки его персональных данных в порядке, форме и сроки, установленные Законодательством о персональных данных;
  • Запросить копии ПДн, которые обрабатываются Оператором;
  • Требовать уточнения своих персональных данных, их Блокирования или Уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении Субъектом ПДн согласия на обработку персональных данных;
  • Принимать предусмотренные законом меры по защите своих прав;
  • Отзывать свое согласие на обработку персональных данных;
  • Изменять (обновлять, дополнять) предоставленные им персональные данные связавшись с Оператором способами, предусмотренными соответствующим договором или соглашением с Оператором.

5.2.2. Оператор имеет право:

  • Обрабатывать персональные данные Субъекта ПДн в соответствии с заявленной целью;
  • Требовать от Субъекта ПДн предоставления достоверных персональных данных, необходимых для исполнения договора, оказания услуги, идентификации Субъекта персональных данных, а также в иных случаях, предусмотренных законодательством о персональных данных;
  • Ограничивать доступ Субъекта ПДн к его персональным данным в случае, если Обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, доступ Субъекта ПДн к его персональным данным нарушает права и законные интересы третьих лиц, а также в иных случаях, предусмотренных законодательством РФ;
  • Блокировать изменение и (или) удаление персональных данных, если в соответствии с требованиями действующего законодательства РФ Оператор обязан сохранить измененную или удаленную информацию на срок, установленный законодательством РФ, и передать такую информацию в соответствии с законодательно установленной процедурой государственному органу;
  • Осуществлять обработку персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации;
  • Поручать обработку персональных данных другому лицу с согласия Субъекта ПДн.
  • Оператор обязуется предоставлять ответ на запрос Субьекта ПДН или его представителя в течение 10 (десяти) рабочих дней с даты получения данного запроса, по следующим вопросам:
    • запрос информации, касающийся обработки ПДн Субъекта;
    • запрос, связанный с отзывом согласия на обработку ПДн Субъекта;
    • запрос, связанный с изменением согласия на обработку ПДн Субъекта.

5.2.3. Субъект ПДн обязуется периодически обновлять/актуализировать свои ПДн. Для этого требуется связаться с Оператором способами, предусмотренным соответствующим договором или соглашением с Оператором или по электронной почте, указанной в настоящей Политике.

6. Основные участники системы управления процессом обработки персональных данных

В целях осуществления эффективного управления процессом обработки персональных данных определены следующие основные его участники:

6.1. Генеральный директор Оператора:

6.1.1. Определяет, рассматривает и утверждает политику Оператора в отношении обработки персональных данных.

6.1.2. Принимает решения по реализации действий Оператора, связанных с использованием персональных данных, подверженных риску.

6.1.3. Своим приказом назначает лицо, ответственное за организацию обработки и защиту персональных данных.

6.2. Лицо, ответственное за организацию обработки и защиту персональных данных, назначается приказом Генерального директора Оператора и выполняет следующие функции:

6.2.1. Разрабатывает, организует и контролирует процесс обработки персональных данных (осуществляемый с использованием средств автоматизации или без использования таких средств, в том числе на бумажных носителях) в соответствии с законодательством о персональных данных, настоящей Политикой, внутренними нормативными документами Оператора.

6.2.2. Осуществляет управление и постоянное совершенствование процесса обработки персональных данных по единым правилам, стандартизацию и тиражирование процесса, в том числе:

  • Разрабатывает и представляет для утверждения Генеральному директору Оператора внутренние нормативные документы, касающиеся вопросов обработки персональных данных, требований к защите персональных данных;
  • Организует доведение и (или) доводит до сведения работников Оператора положения законодательства о персональных данных, настоящей Политики, внутренних нормативных документов Оператора по вопросам обработки персональных данных, требований к защите персональных данных;
  • Осуществляет анализ, оценку и прогноз рисков, связанных с обработкой персональных данных у Оператора, выработку мер по снижению рисков;
  • Осуществляет оценку влияния процессов на права и свободы Субъектов ПДн;
  • Осуществляет анализ автоматизированных систем и процессов обработки персональных данных на предмет соответствия установленным обязательным требованиям в области обработки и защиты персональных данных;
  • Осуществляет контроль наличия и полноты содержания договоров поручения на обработку персональных данных, договоров на передачу персональных данных;
  • Осуществляет разработку и организацию применения правовых, организационных и технических мер защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных;
  • Осуществляет определение угроз безопасности персональных данных при их обработке;
  • Осуществляет организацию и контроль уровня защищенности информационных систем персональных данных;
  • Осуществляет оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;
  • Разрабатывает внутренние процедуры, направленные на обеспечение безопасности и защиты персональных данных;
  • Организует и осуществляет внутренний контроль за соблюдением Оператором и его работниками законодательства о персональных данных, настоящей Политики, внутренних нормативных документов Оператора, требований к защите персональных данных;
  • Организует прием и обработку обращений и запросов Субъектов ПДн или их представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов;
  • Осуществляет методологическую помощь структурным подразделениям Оператора по вопросам взаимодействия с органами государственной власти и надзорными органами по вопросам обработки персональных данных;
  • Осуществляет взаимодействие с органами государственной власти по вопросам защиты персональных данных;
  • Осуществляет уведомление надзорного органа в соответствии с применимыми требованиями о фактах утечки персональных данных;
  • Организует оповещение Субъектов персональных данных о фактах утечки их персональных данных.

6.3. Юрисконсульт Оператора:

6.3.1. Осуществляет мониторинг законодательства и доведение до сведения заинтересованных лиц и подразделений информации об изменении правовых норм;

6.3.2. Обеспечивает правовую защиту интересов Оператора в судах и государственных органах по спорам, связанным с обработкой персональных данных, а также при рассмотрении административных дел, связанных с нарушением законодательства в указанной сфере.

7. Условия обработки персональных данных Оператором

7.1. Оператор хранит персональные данные в течение срока, необходимого для достижения соответствующей цели обработки персональных данных, если иной срок хранения не установлен договорами, соглашениями между Оператором и Субъектом ПДн (либо юридическим лицом, представителем которого является Субъект ПДн), либо действующим законодательством РФ.

7.2. Оператор обязуется принимать все необходимые и достаточные организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц, в том числе обязуется не осуществлять без согласия Субъекта ПДн передачу его персональных данных, их опубликование в открытом доступе и соблюдать требования к обработке персональных данных, предусмотренные Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных». Положения настоящего пункта не распространяются на случаи добровольного предоставления Субъектом ПДн информации о себе для общего доступа неограниченному кругу лиц.

7.3. Обработка персональных данных Субъекта ПДн осуществляется с его согласия на предоставление ПДн и на их обработку , а также без такового, если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект ПДн, а также для заключения договора по инициативе Субъекта ПДн или договора, по которому Субъект ПДн будет являться выгодоприобретателем или поручителем или в иных случаях, предусмотренных законодательством о персональных данных.

7.4. Обработка специальной категории персональных данных, касающейся состояния здоровья и судимости Субъекта ПДн осуществляется с согласия Субъекта ПДн на обработку своих персональных данных в письменной форме, а также без такового, если персональные данные сделаны общедоступными Субъектом персональных данных.

7.5. При отсутствии необходимости получения согласия Субъекта ПДн на обработку ПДн в письменной форме, установленной в рамках Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», согласие субъекта может быть дано Субъектом персональных данных или его представителем в любой позволяющей подтвердить факт получения согласия форме.

7.6. Оператор вправе поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом. Такая Обработка персональных данных осуществляется только на основании договора, заключенного между Оператором и третьим лицом, в котором должны быть определены:

  • Перечень персональных данных;
  • Обязанность использовать для записи и хранения персональных данных базы данных на территории РФ;
  • Меры, которые должен предпринять исполнитель для выполнения требований Закона о персональных данных;
  • Обязанность по запросу предоставлять в течение срока действия поручения информацию о соблюдении условий обработки персональных данных;
  • Обязанность уведомить о случаях компрометации обрабатываемых данных;
  • Перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных;
  • Цели обработки персональных данных;
  • Обязанности третьего лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке, а также требования к защите обрабатываемых персональных данных.

7.7. Оператор осуществляет передачу персональных данных государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.

7.8. В случае поручения обработки ПДн российскому физическому и юридическому лицу, Оператор несет ответственность перед Субъектом ПДн за действия таких лиц. В случае, если Оператор поручает обработку ПДн иностранному физическому лицу или иностранному юридическому лицу, ответственность перед Субъектом ПДн за действия указанных лиц несет Оператор и лицо, осуществляющее обработку персональных данных по поручению Оператора.

7.9. Доступ к обрабатываемым персональным данным предоставляется только тем работникам Оператора, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности.

7.10. Обработка персональных данных прекращается при достижении целей такой обработки, а также по истечении срока, предусмотренного законом, договором, или согласием Субъекта ПДн на обработку его персональных данных. При отзыве Субъектом ПДн согласия на обработку его персональных данных, Оператор вправе продолжить обработку персональных данных без согласия Субъекта ПДн, если такая обработка предусмотрена договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект ПДн, иным соглашением между Оператором и Субъектом ПДн, либо если Оператор вправе осуществлять обработку персональных данных без согласия Субъекта ПДн на основаниях, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», или другими федеральными законами.

7.11. Обработка персональных данных осуществляется с соблюдением конфиденциальности, под которой понимается обязанность не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта ПДн, если иное не предусмотрено законодательством РФ.

7.12. Оператор вправе раскрывать (передать) персональные данные третьим лицам в следующих случаях:

7.12.1. Субъект ПДн выразил согласие на такие действия;

7.12.2. Раскрытие необходимо для исполнения определенного соглашения или договора с Субъектом ПДн или юридическим лицом, представителем которого выступает Субъект ПДн;

7.12.3. Раскрытие осуществляется на основании законных требований органов государственной власти, правоохранительных органов и других уполномоченных органов и организаций, либо раскрытие персональных данных предусмотрено действующим законодательством РФ в рамках установленной процедуры;

7.12.4. В целях обеспечения возможности защиты прав и законных интересов Оператора или третьих лиц в случаях, когда Субъект ПДн или юридическое лицо, представителем которого является Субъект ПДн, нарушает договоры и соглашения, заключенные с Оператором, настоящую Политику, либо существует угроза такого нарушения.

7.13. Оператор обеспечивает конфиденциальность персональных данных Субъекта ПДн со своей стороны, со стороны своих аффилированных лиц, со стороны своих работников, имеющих доступ к персональным данным физических лиц, а также обеспечивает использование персональных данных вышеуказанными лицами исключительно в целях, соответствующих закону, договору или иному соглашению, заключенному с Субъектом ПДн.

7.14. Обеспечение безопасности обрабатываемых персональных данных осуществляется Оператором в рамках единой комплексной системы организационно-технических и правовых мероприятий по защите информации, составляющей коммерческую тайну, с учетом требований законодательства о персональных данных, принятых в соответствии с ним нормативных правовых актов. Система информационной безопасности Оператора непрерывно развивается и совершенствуется на базе требований международных и национальных стандартов информационной безопасности, а также лучших мировых практик.

7.15. Персональные данные Соискателей могут обрабатываться Оператором в случае, если Оператор формирует кадровый резерв, включающий резюме понравившихся Соискателей, Соискателей, посетивших собеседование, но по каким-то причинам не ставших Работниками. Оператор продолжает осуществлять обработку (хранение) персональных данных Работников и после их увольнения в течение установленного законодательством РФ архивного срока хранения.

7.16. Обеспечение безопасности ПДн, обрабатываемых Оператором, достигается путем принятия, в том числе, следующих мер по обеспечению безопасности:

  • определение актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах;
  • применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах Оператора, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  • оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;
  • учет машинных носителей персональных данных;
  • обеспечение работоспособного функционирования компьютерной техники с персональных данных в соответствии с эксплуатационной и технической документацией и с учетом технических требований информационных систем и средств защиты информации;
  • обнаружение и регистрация фактов несанкционированного доступа к персональным данным, несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных и принятие мер;
  • восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
  • контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем.

8. Заключительные положения

8.1. Оператор, а также его должностные лица и Работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки персональных данных физических лиц, а также за разглашение или незаконное использование персональных данных в соответствии с законодательством Российской Федерации.

8.2. Оператор имеет право вносить изменения в настоящую Политику. Положения настоящей Политики подлежат актуализации в случае изменения законодательства Российской Федерации о персональных данных.

8.3. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав Субъектов ПДн, Оператор обуется с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

  • в течение 24 часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав Субъектов ПДн, и предполагаемом вреде, нанесенном правам Субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав Субъектов ПДн, по вопросам, связанным с выявленным инцидентом;
  • в течение 72 часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

8.4. К настоящей Политике и отношениям между Субъектом ПДн и Оператором, возникающим в связи с применением Политики, подлежит применению право Российской Федерации.

9. Документы, в соответствии с которыми осуществляется обработка персональных данных

9.1. Конституция Российской Федерации.

9.2. Трудовой кодекс Российской Федерации.

9.3. Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» с учетом изменений и дополнений.

9.4. Постановление Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

9.5. Приказ Федеральной службы по техническому и экспортному контролю от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

9.6. Постановление Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

9.7. Иные нормативно-правовые акты Российской Федерации.