Политика в отношении обработки персональных данных
1. Общие положения
1.1. Область применения
1.1.1. Настоящий документ (далее – Политика) определяет политику ООО «Фармсервис» (ОГРН: 1112312000393, ИНН: 2312178145) (далее – Оператор) в отношении обработки персональных данных и определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных у Оператора.
1.1.2. Настоящая Политика устанавливает общие цели и задачи, условия их реализации, принципы построения процессов обработки персональных данных, состав и взаимосвязь ее систем и элементов.
1.1.3. Требования настоящей Политики должны знать все работники Оператора (включая работников по трудовым договорам и лиц, заключивших иные договоры с Оператором) и все структурные и обособленные подразделения Оператора.
1.1.4. Требования настоящей Политики также учитываются и предъявляются в отношении третьих лиц при необходимости их участия в процессах обработки Оператором персональных данных, например, в случаях передачи в установленном порядке со стороны Оператора персональных данных подрядчикам, партнерам и иным контрагентам на основании поручений на обработку персональных данных, иных соглашений и договоров.
1.1.5. Положения настоящей Политики являются основой для организации работы по обработке персональных данных Оператором, в том числе, для разработки внутренних нормативных документов, регламентирующих обработку и защиту персональных данных у Оператора.
1.1.6. В случае, если отдельные положения настоящей Политики войдут в противоречие с действующим законодательством о персональных данных, применяются положения действующего законодательства.
1.1.7. Настоящая Политика является документом, к которому обеспечивается неограниченный доступ. Для обеспечения неограниченного доступа Политика, в частности, опубликована на официальных сайтах Оператора в сети Интернет по адресам: https://phsv.ru, https://phsv-ppe.ru, https://phsv-apteka.ru, https://phsv-esthetics.ru, https://phsv-zoo.ru, https://phsv.com, https://phsv.eu. https://phsv.kz, https://phsv.by и других.
1.2. Нормативные ссылки
В настоящей Политике использованы ссылки на следующие документы:
- Федеральный закон Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных», электронная версия документа опубликована по адресу: http://pravo.gov.ru/proxy/ips/?docbody=&link_id=0&nd=102108261&intelsearch=&firstDoc=1;
- Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», электронная версия документа опубликована по адресу: https://rkn.gov.ru/personal-data/p908/.
1.3. Термины и определения, сокращения
В настоящем документе применяются следующие термины и определения, сокращения:
| Термин | Определение | Сокращение |
| Автоматизированная обработка персональных данных | Обработка персональных данных с помощью средств вычислительной техники; | |
| Блокирование персональных данных | Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); | |
| Веб-сайт | Совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети "Интернет" по доменному имени и (или) по сетевым адресам, позволяющим идентифицировать сайт в сети "Интернет", и предназначенная для предоставления информации. | |
| Информационная система персональных данных | Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; | |
| Обезличивание персональных данных | Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных; | |
| Обработка персональных данных | Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; | |
| Оператор | Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; | |
| Персональные данные | Любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных); | ПДн |
| Персональные данные, разрешённые субъектом персональных данных для распространения | Персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом; | |
| Предоставление персональных данных | Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; | |
| Распространение персональных данных | Действия, направленные на раскрытие персональных данных неопределенному кругу лиц; | |
| Трансграничная передача персональных данных | Передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу; | |
| Уничтожение персональных данных | Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; |
2. Основная часть
2.1 Принципы обработки персональных данных
2.1.1. Обработка персональных данных Оператором на законной и справедливой основе, основными правовыми основаниями для обработки являются:
- Конституция Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- Федеральный закон от 04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в РФ»;
- Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;
- Устав Оператора;
- Договоры и соглашения Оператора;
- Согласия субъектов персональных данных.
2.1.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей:
- Заключение трудовых отношений с физическими лицами, подбор персонала;
- Прохождение физическими лицами стажировок и практик у Оператора;
- Заключение, выполнение и продление договорных отношений Оператора;
- Участие физических лиц в бонусных программах, программах лояльности Оператора и партнерских организаций;
- Организация конференций, семинаров, вебинаров, иных публичных мероприятий в интересах Оператора, партнерских организаций, профессиональных сообществ;
- Регистрация, идентификация и персонализация пользователей веб-сайтов Оператора; предоставление доступа к ресурсам и функциям, доступным только для зарегистрированных пользователей; повышение удобства работы пользователей, повышение качества оказываемых услуг и выполняемых работ;
- Осуществление связи с физическими и юридическими лицами для направления им уведомлений, ответов на запросы, рассылок и информационных сообщений, а также сообщений маркетингового характера для продвижения товаров, работ и услуг Оператора и партнерских организаций;
- Защита законных интересов Оператора, его партнеров и клиентов; противодействие незаконным или несанкционированным действиям, мошенничеству при использовании клиентами и пользователями программных продуктов, товаров, работ и услуг Оператора, обеспечение информационной безопасности;
- Организация пропускного режима на территории зданий, складов и офисов Оператора, обеспечение сохранности имущества и безопасности персонала и посетителей Оператора;
- Проведение исследований по тематике деятельности Оператора, использования программных продуктов, товаров, работ и услуг Оператора для расширения спектра оказываемых услуг, выполняемых работ, товаров, контроля качества;
- Соблюдение действующего трудового, бухгалтерского, пенсионного, иного законодательства Российской Федерации;
- Соблюдение иного применимого к деятельности Оператора законодательства, в том числе, международного или местного законодательства стран, в отношении граждан, которых Оператор ведёт свою деятельность.
2.1.3. К основным категориям субъектов персональных, чьи данные обрабатываются Оператором, относятся:
- Физические лица, состоящие или состоявшие в трудовых и гражданско-правовых отношениях с Оператором, их ближайшие родственники, рекомендующие лица, а также лица, имеющие намерения вступить в такие отношения, например, кандидаты на замещение вакантных должностей;
- Физические лица, состоящие или состоявшие в трудовых и гражданско-правовых отношениях с контрагентами Оператора, а также лица, имеющие намерения вступить в такие отношения;
- Физические лица, проходящие у Оператора стажировки, практики от учебных заведений;
- Физические лица, указанные в различных государственных реестрах, базах данных, общедоступных и иных источниках, которые получены законным способом и используются при поставке товаров, производстве работ и оказании услуг Оператором в качестве источников данных;
- Физические лица, обратившиеся к Оператору с запросами, сообщениями, заявлениями, жалобами, предложениями с использованием контактной информации или средств сбора обратной связи;
- Физические лица, участвующие в интервью, опросах, аналитических и маркетинговых исследованиях по тематике деятельности Оператора;
- Участники мероприятий, организованных Оператором или организациями партнерами;
- Посетители и пользователи сайтов Оператора;
- Учредители Оператора.
2.1.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Для указанных в п.п. 2.1.3 категорий субъектов могут обрабатываться в соответствии с целями обработки:
2.1.4.1. Цель – заключение трудовых отношений с физическими лицами, подбор персонала.
|
|||
2.1.4.2. Цель – прохождение физическими лицами стажировок и практик у Оператора.
|
|||
2.1.4.3. Цель – заключение, выполнение и продление договорных отношений Оператора.
|
|||
2.1.4.4. Цель – участие физических лиц в бонусных программах, программах лояльности Оператора и партнерских организаций.
|
|||
2.1.4.5. Цель – организация конференций, семинаров, вебинаров, иных публичных мероприятий в интересах Оператора, партнерских организаций, профессиональных сообществ.
|
|||
2.1.4.6. Цель – регистрация, идентификация и персонализация пользователей веб-сайтов Оператора; предоставление доступа к ресурсам и функциям, доступным только для зарегистрированных пользователей; повышение удобства работы пользователей, повышение качества оказываемых услуг и выполняемых работ.
|
|||
2.1.4.7. Цель – осуществление связи с физическими и юридическими лицами для направления им уведомлений, ответов на запросы, рассылок и информационных сообщений, а также сообщений маркетингового характера для продвижения товаров, работ и услуг Оператора и партнерских организаций.
|
|||
2.1.4.8. Цель – защита законных интересов Оператора, его партнеров и клиентов; противодействие незаконным или несанкционированным действиям, мошенничеству при использовании клиентами и пользователями программных продуктов, товаров, работ и услуг Оператора, обеспечение информационной безопасности.
|
|||
2.1.4.9. Цель – организация пропускного режима на территории зданий, складов и офисов Оператора, обеспечение сохранности имущества и безопасности персонала и посетителей Оператора.
|
|||
2.1.4.10. Цель – проведение исследований по тематике деятельности Оператора, использования программных продуктов, товаров, работ и услуг Оператора для расширения спектра оказываемых услуг, выполняемых работ, товаров, контроля качества.
|
|||
2.1.4.11. Цель – соблюдение действующего трудового, бухгалтерского, пенсионного, иного законодательства Российской Федерации.
|
2.1.5. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.1.6. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
2.1.7. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.
2.1.8. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры и/или обеспечивает их принятие по удалению или уточнению неполных, или неточных данных.
2.1.9. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
2.1.10. Обрабатываемые персональные данные уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.2 Порядок и условия обработки персональных данных
2.2.1. Обработка персональных данных ведётся Оператором смешанным способом: с использованием средств автоматизации и без таковых.
2.2.2. Действия с персональными данными включают: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (распространение, предоставление, доступ); блокирование; удаление, уничтожение.
2.2.3. При обработке обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. При обнаружении неточных или неполных персональных данных может производиться их уточнение и актуализация. В случаях, когда актуализация персональных данных находится вне зоны ответственности Оператора, обработка может быть приостановлена до момента актуализации. Обязанности и ответственность за своевременную актуализацию персональных данных для отдельных случаев обработки могут устанавливаться соглашениями или локальными актами Оператора.
2.2.4. При осуществлении обработки и хранения персональных данных Оператор использует базы данных, находящиеся на территории Российской Федерации. Трансграничная передача персональных данных на территории иностранных государств не осуществляется.
2.2.5. Сроки хранения персональных данных:
|
2.2.5.1. персональные данные, содержащиеся в кадровых приказах Оператора (о приеме, о переводе, об увольнении), подлежат хранению в кадровом подразделении Оператора в течение 2 (двух) лет, с последующим формированием и передачей указанных документов в архив Оператора в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 75 (семидесяти пяти) лет; 2.2.5.2. персональные данные, содержащиеся в личных делах работников Оператора, хранятся в кадровом подразделении Оператора в течение 10 (десяти) лет, с последующим формированием и передачей указанных документов в архив Оператора в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 75 (семидесяти пяти) лет; 2.2.5.3. персональные данные, содержащиеся в приказах о предоставлении отпусков, о краткосрочных командировках, о дисциплинарных взысканиях работников Оператора, подлежат хранению в кадровом подразделении Оператора в течение 5 (пяти) лет с последующим уничтожением; 2.2.5.4. персональные данные, содержащиеся в документах претендентов на замещение вакантной должности в Операторе, не допущенных к участию в конкурсе, и кандидатов, участвовавших в конкурсе, хранятся в кадровом подразделении Оператора в течение 3 (трёх) лет со дня завершения конкурса, после чего подлежат уничтожению; 2.2.5.5. персональные данные субъектов, обратившихся к Оператору лично, а также направивших письменные обращения или обращения в форме электронного документа, хранятся в течение 5 (пяти) лет, после чего подлежат уничтожению; 2.2.5.6. Персональные данные, содержащиеся в документах о прохождении стажировок и практик, хранятся в кадровом подразделении Оператора в течение 30 (тридцати) рабочих дней после окончания стажировок или практик, после чего подлежат уничтожению; 2.2.5.7. срок хранения персональных данных, внесенных в информационные системы персональных данных соответствует сроку хранения бумажных оригиналов. |
2.2.6. Обрабатываемые персональные данные подлежат уничтожению при наступлении следующий условий:
|
2.2.6.1. достижение целей обработки персональных данных или максимальных сроков хранения – подлежит уничтожению в течение 30 (тридцати) рабочих дней; 2.2.6.2. утрата необходимости в достижении целей обработки персональных данных – в течение 30 (тридцати) рабочих дней; 2.2.6.3. предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки – в течение 3 (трёх) рабочих дней; 2.2.6.4. невозможность обеспечения правомерности обработки персональных данных – в течение 10 (десяти) рабочих дней; 2.2.6.5. отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных – в течение 30 (тридцати) рабочих дней; 2.2.6.6. отзыв субъектом персональных данных согласия на использование персональных данных для контактов с потенциальными клиентами при продвижении товаров, работ и услуг – в течение 2 (двух) рабочих дней; 2.2.6.7. истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных. |
2.2.7. Оператор при необходимости может привлекать сторонние организации к обработке персональных данных в качестве субподрядчиков при условии соблюдения принципов обработки и наличия с ними соответствующего договора или соглашения. К таким случаям относятся следующие:
| Наименование и местонахождение сторонней организации | Цель передачи персональных данных | Объём передаваемых персональных данных | Способы обработки персональных данных |
|
АО «АЛЬФА-БАНК» (ИНН: 9705146848, ОГРН: 1027700067328) 107078, г. Москва, ул. Каланчевская, д.27 |
Приём оплаты за товары, работы и услуги на сайтах Оператора | Фамилия, имя, отчество; номер телефона; адрес электронной почты | С использованием средств автоматизации |
|
ООО «СДЭК-СЕРВИС» (ИНН: 9200009367, ОГРН: 1229200001414) 299038, г. Севастополь, ул. Колобова, д. 35/5, помещ. 1 |
Доставка товаров, приобретённых дистанционным способом на сайтах Оператора | Фамилия, имя, отчество; номер телефона; адрес электронной почты; адрес места жительства | С использованием средств автоматизации |
|
ООО «ИНКС» (ИНН: 2308257073, ОГРН: 1182375047051) 350900, Краснодарский край, г.о. город Краснодар, г Краснодар, проезд 3-й Звенигородский, д. 81 |
Техническая поддержка информационных систем персональных данных Оператора | Фамилия, имя, отчество; номер телефона; адрес электронной почты | С использованием средств автоматизации |
2.3 Получение согласия субъекта на обработку персональных данных
2.3.1. В случаях обработки, не предусмотренных действующим законодательством или договором с субъектом явно, обработка осуществляется после получения согласия субъекта персональных данных. Обязательным случаем получения предварительного согласия является, например, контакт с потенциальным клиентом в маркетинговых целях, при продвижении товаров, работ и услуг Оператора на рынке.
2.3.2. Согласие может быть выражено в форме совершения субъектом персональных данных конклюдентных действий, например:
|
2.3.2.1. принятия условий договора, правил пользования сайтами Оператора; 2.3.2.2. продолжения использования веб-сайтов Оператора, взаимодействия с их пользовательскими интерфейсами после уведомления пользователя об обработке данных; 2.3.2.3. проставления отметок, заполнения соответствующих полей в формах, бланках; 2.3.2.4. поддержания электронной переписки, в которой говорится об обработке; 2.3.2.5. прохода на территорию Оператора после ознакомления с предупреждающими табличками и знаками; 2.3.2.6. иных действий, совершаемых субъектом, по которым можно судить о его волеизъявлении. |
2.3.3. В отдельных случаях, предусмотренных законодательством Российской Федерации, согласие оформляется в письменной форме с указанием сведений, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ, а также в соответствии с иными применимыми требованиями, типовыми формами.
2.3.4. Согласие на обработку персональных данных, разрешённых для распространения, оформляется отдельно от других согласований на обработку персональных данных. При этом соблюдаются условия, предусмотренные, в частности, ст. 10.1 Федеральным законом от 27.07.2006 № 152-ФЗ.
2.3.5. Согласие на обработку персональных данных, разрешенных для распространения, Пользователь предоставляет Оператору непосредственно.
2.3.6. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только Оператором, которому оно направлено.
2.3.7. Согласие на обработку персональных данных, разрешенных для распространения, прекращает свое действие с момента поступления Оператору требования, указанного в п. 2.3.6 настоящей Политики в отношении обработки персональных данных.
2.3.8. В случаях обработки персональных данных, полученных не от субъекта напрямую, а от других лиц на основании договора или поручения на обработку, обязанность получения согласия субъекта может быть возложена на лицо, от которого получены персональные данные.
2.3.9. В случае отказа субъекта от предоставления в необходимом и достаточном объеме его персональных данных, Оператор не сможет осуществить необходимые действия для достижения соответствующих обработке целей. Например, в таком случае может быть не завершена регистрация пользователя на веб-сайте, услуги по договору могут быть не оказаны, работы не выполнены, товары не поставлены, резюме соискателя на вакансию не будет рассмотрено и т. д.
2.4 Обработка электронных пользовательских данных, включая cookies
2.4.1. В целях обработки персональных данных, установленных Политикой, может собирать электронные пользовательские данные на своих сайтах автоматически, без необходимости участия пользователя и совершения им каких-либо действий по отправке данных.
2.4.2. Достоверность собранных таким способом электронных данных Оператором не проверяется, информация обрабатываются «как есть» в том виде, как она поступила с клиентского устройства.
2.4.3. Посетителям и пользователям сайтов Оператора могут показываться всплывающие уведомления о сборе и обработке данных cookies с ссылкой на Политику и кнопками принятия условий обработки либо закрытия всплывающего уведомления. Такие уведомления означают, что при посещении и использовании сайтов Оператора в браузер на устройстве пользователя может сохраняться информация (например, данные cookies), позволяющая в дальнейшем идентифицировать пользователя или устройство, запомнить сеанс работы или сохранить некоторые настройки и предпочтения пользователя, специфичные для этих конкретных сайтов. Такая информация после сохранения в браузер и до истечения установленного срока действия или удаления с устройства будет отправляться при каждом последующем запросе на сайт, от имени которого они были сохранены, вместе с этим запросом для обработки на стороне Оператора.
2.4.4. Обработка данных cookies необходима Оператору для корректной работы сайтов, в частности, их функций, относящихся к доступу зарегистрированных пользователей программных продуктов, услуг, работ и ресурсов Оператора; персонализации пользователей; повышения эффективности и удобства работы с сайтами, а также иных целей, предусмотренных Политикой.
2.4.5. Кроме обработки данных cookies, установленных самими сайтами Оператора, пользователям и посетителям могут устанавливаться cookies, относящиеся к сайтам сторонних организаций, например, в случаях, когда на сайтах Оператора используются сторонние компоненты и программное обеспечение. Обработка таких cookies регулируется политиками соответствующих сайтов, к которым они относятся, и может изменяться без уведомления пользователей сайтов Оператора. К таким случаям может относиться размещение на сайтах:
|
2.4.5.1. счетчиков посещений, аналитических и статистических сервисов, таких как Яндекс.Метрика для сбора статистики посещаемости общедоступных страниц сайтов; 2.4.5.2. виджетов вспомогательных сервисов для сбора обратной связи, организации чатов и иных видов коммуникаций с пользователями; 2.4.5.3. систем контекстной рекламы, баннерных и иных маркетинговых сетей; 2.4.5.4. кнопок авторизации на сайтах с помощью учетных записей в социальных сетях; 2.4.5.5. иных сторонних компонент, используемых Оператором на своих сайтах. |
2.4.6. Принятие пользователем условий обработки cookies или закрытие всплывающего уведомления в соответствии с Политикой расценивается как согласие на обработку данных cookies на сайтах Оператора.
2.4.7. В случае если пользователь не согласен с обработкой cookies, он должен принять на себя риск, что в таком случае функции и возможности сайта могут не быть доступны в полном объеме, а затем следовать по одному из следующих вариантов:
|
2.4.7.1. переключиться в специальный режим «инкогнито» браузера для использования сайтом cookies до закрытия окна браузера или до переключения обратно в обычный режим; 2.4.7.2. покинуть сайт во избежание дальнейшей обработки cookies. |
2.5 Конфиденциальность и безопасность персональных данных
2.5.1. Для персональных данных в Операторе обеспечивается конфиденциальность в соответствии с применимым законодательством, локальными актами Оператора, условиями заключенных соглашений и договоров Оператором, кроме случаев:
|
2.5.1.1. если персональные данные являются общедоступными, содержатся в общедоступных источниках персональных данных или разрешены субъектом для распространения; 2.5.1.2. если информация подлежит обязательному раскрытию третьим лицам, включая государственные органы, в соответствии с применимым к Оператору законодательству. |
2.5.2. Оператор предпринимает необходимые и достаточные правовые, организационные и технические меры для обеспечения безопасности персональных данных для их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:
|
2.5.2.1. назначение физических лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных в Операторе; 2.5.2.2. издание локальных актов по вопросам обработки персональных данных, информационной безопасности, ознакомление с ними сотрудников; 2.5.2.3. обучение сотрудников по вопросам обработки персональных данных, обеспечения информационной безопасности; 2.5.2.4. обеспечение физической безопасности помещений и средств обработки, пропускной режим, охрана, видеонаблюдение; 2.5.2.5. ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными; 2.5.2.6. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных, формирование на их основе моделей угроз; 2.5.2.7. применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе, в необходимых случаях, прошедших процедуру оценки соответствия в установленном порядке; 2.5.2.8. учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение; 2.5.2.9. резервное копирование информации для возможности восстановления; 2.5.2.10. осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты; 2.5.2.11. проверка наличия в договорах, включение при необходимости в договоры пунктов об обеспечении конфиденциальности и безопасности персональных данных; 2.5.2.12. иные меры в соответствии с локальными актами Оператора. |
2.6 Права и обязанности Оператора
2.6.1. Оператор имеет право:
|
2.6.1.1. получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные; 2.6.1.2. в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных; 2.6.1.3. самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами . |
2.6.2. Оператор обязан:
|
2.6.2.1. предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных в течение 10 рабочих дней с даты получения такого запроса; 2.6.2.2. организовывать обработку персональных данных в порядке, установленном действующим законодательством Российской Федерации; 2.6.2.3. отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных; 2.6.2.4. сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса; 2.6.2.5. публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки персональных данных; 2.6.2.6. принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных; 2.6.2.7. прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных; 2.6.2.8. в порядке, определённом федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу персональных данных; 2.6.2.9. исполнять иные обязанности, предусмотренные Законом о персональных данных. |
2.7 Права и обязанности субъектов персональных данных
2.7.1. Субъекты персональных данных имеют право:
|
2.7.1.1. получать информацию, касающуюся обработки собственных персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных; 2.7.1.2. При невозможности самостоятельного изменения требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав – путём направления Оператору уведомления на адрес электронной почты fl_152@phsv.ru с пометкой «Уточнение персональных данных»; 2.7.1.3. выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг; 2.7.1.4. на отзыв согласия на обработку персональных данных путём отправки электронной почты на электронный адрес fl_152@phsv.ru с отметкой «Отзыв согласия на обработку персональных данных»; 2.7.1.5. обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных; 2.7.1.6. на осуществление иных прав, предусмотренных законодательством РФ. |
2.7.2. Субъекты персональных данных обязаны:
|
2.7.2.1. предоставлять Оператору достоверные данные о себе; 2.7.2.2. сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных. |
2.8 Контроль и ответственность
2.8.1. Субъекты персональных данных, передавшие Оператору недостоверные сведения о себе, либо о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством Российской Федерации.
2.8.2. Ответственность сотрудников Оператора, участвующих в обработке персональных данных в силу выполнения функциональных обязанностей, за надлежащую обработку и неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного между Оператором и сотрудником договора, обязательства о неразглашении информации, локальных актов Оператора.
2.8.3. Контроль исполнения требований Политики в Операторе осуществляется в общем случае ответственными за организацию обработки персональных данных, либо отдельными структурными подразделениями и уполномоченными лицами в соответствии с локальными актами Оператора.
2.8.4. Сотрудники Оператора, виновные в нарушении требований Федерального закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном законодательством Российской Федерации.
2.9 Публикация и актуализация Политики
2.9.1. Политика разрабатывается лицами, ответственными за организацию обработки персональных данных в Операторе, и вводится в действие после утверждения в Операторе.
2.9.2. Политика является общедоступным документом Оператора и предусматривает возможность ознакомления любых лиц с ее действующей версией, включая существующие переводы на иностранные языки, путем опубликования в сети интернет по адресам:
2.9.3. Веб-формы, бланки, типовые формы Оператора для сбора персональных данных в обязательном порядке содержат уведомления пользователей об обработке персональных данных в соответствии с Политикой с ссылкой на нее.
2.9.4. Политика действует бессрочно после утверждения и до ее замены новой версией. Оператор имеет право вносить изменения в Политику без уведомления любых лиц. Политика пересматривается ежегодно для поддержания в актуальном состоянии и актуализируется по мере необходимости.
2.9.5. Предложения и замечания для внесения изменений в Политику заинтересованные лица могут направлять по адресу fl_152@phsv.ru.