Политика в отношении обработки ПНд

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных в Обществе с ограниченной ответственностью «СВЕЗА-ЛЕС» (далее – Политика) разработана в соответствии Федеральным законом РФ от 27.07.2006 №152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) в целях реализации ООО «СВЕЗА-ЛЕС» (далее – Оператор, Компания) положений Законодательства РФ, которыми определены случаи и особенности обработки персональных данных (далее – ПДн), а также установлены требования к обработке ПДн, и направлена на обеспечение защиты прав и свобод человека и гражданина (субъекта ПДн) при организации и/или осуществлении обработки его ПДн Компанией, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, с целью обеспечения прозрачности процессов Компании, в которых осуществляется обработка ПДн, а также для повышения информативности настоящего документа, Политика разработана в т.ч. в соответствии с подготовленными Роскомнадзором «Рекомендациями по составлению документа, определяющего политику оператора в отношении обработки ПДн, в порядке, установленном Законом № 152-ФЗ.

1.2. Политика является основой для организации обработки и защиты ПДн в Компании, в т.ч. для разработки локальных нормативных актов, регламентирующих порядок обработки и защиты ПДн в Компании, и определяет:

• принципы обработки ПДн;

• правовые основания обработки ПДн;

• цели обработки ПДн, категории и перечень обрабатываемых ПДн, категории субъектов ПДн, ПДн которых обрабатываются, способы, сроки обработки и хранения ПДн, порядок их уничтожения;

• организация процесса управления обработкой ПДн в Компании;

• основы порядка рассмотрения обращений субъектов ПДн по вопросам обработки ПДн;

• меры обеспечения конфиденциальности и безопасности ПДн;

• права и обязанности Компании, права субъекта ПДн.

1.3. Ознакомление работников Компании с настоящей Политикой, в т.ч. с изменениями настоящей Политики, осуществляется под подпись.

1.4. Положения и требования настоящей Политики являются обязательными для исполнения всеми работниками Компании, имеющими доступ к ПДн.

1.5. Настоящая Политика подлежит размещению на сайте Компании в информационно-телекоммуникационной сети «Интернет», а также на всех страницах сайта Компании, с использованием которых осуществляется сбор ПДн субъектов ПДн.

2. Основные понятия

Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники.

Безопасность ПДн – состояние защищенности ПДн, которое характеризуется способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность ПДн при их обработке.

Биометрические ПДн – сведения, которые характеризуют физиологические и биологические особенности субъекта ПДн, позволяют установить (идентифицировать) его личность и используются Компанией для такого установления (идентификации) личности.

Блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн) по требованию субъекта ПДн или Роскомнадзора.

Владелец процесса – работник ООО «СВЕЗА-ЛЕС», отвечающий за эффективность работ и достижение целевых результатов деятельности в рамках процесса (т.е. в рамках осуществляемой Работниками ООО «СВЕЗА-ЛЕС» совокупности действий, выполняемых в законном порядке для повторяемого достижения требуемого результата).

Законодательство РФ - совокупность положений нормативных правовых актов РФ, которыми определены случаи и особенности обработки персональных данных, а также установлены требования к обработке персональных данных.

Информационная система ПДн (ИСПДн) – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность ПДн – обязанность не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

Надзорный орган - орган, уполномоченный на осуществление государственного контроля и надзора за соответствием обработки ПДн требованиям законодательства, а также соблюдением прав Субъектов ПДн (Роскомнадзор).

Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

Специальные категории ПДн – ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также сведения о судимости.

Субъект ПДн - прямо или косвенно определенное или определяемое физическое лицо.

Трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.

3. Принципы обработки ПДн

Обработка ПДн в Компании осуществляется с соблюдением следующих принципов, установленных законодательством РФ:

• обработка ПДн на законной и справедливой основе;

• обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;

• не допускается обработка ПДн, несовместимая с целями сбора ПДн;

• обработка только тех ПДн, которые отвечают целям обработки ПДн;

• не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;

• содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки ПДн и не должны быть избыточными по отношению к заявленным целям их обработки;

• при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн;

• хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, осуществляется не дольше, чем этого требуют цели их обработки, если срок хранения ПДн не установлен Законодательством РФ, договором, стороной которого является субъект ПДн;

• уничтожение или обеспечение уничтожения ПДн (если обработка ПДн осуществляется другим лицо, действующим по поручению Компании), проводится по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.

4. Правовые основания обработки ПДн

Правовые основания обработки ПДн субъектов ПДн устанавливаются с учетом определенных Законом №152-ФЗ условий обработки ПДн. Правовыми основаниями обработки ПДн, являются:

• согласие субъекта ПДн на обработку ПДн с учетом требований, предусмотренных законодательством РФ для соответствующей категории ПДн;

• положения нормативных правовых актов, во исполнение которых и в соответствии с которыми Компания осуществляет обработку ПДн;

• судебные акты, акты другого органа или должностного лица, подлежащие исполнению Компанией в соответствии с положениями законодательства РФ об исполнительном производстве;

• договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, если обработка ПДн необходима для заключения указанного договора или исполнения обязательств по договору;

• обеспечение и/или осуществление защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;

• права и законные интересы Компании, иных лиц либо достижение общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;

• обработка ПДн в статистических или иных исследовательских целях при условии обязательного обезличивания ПДн;

• обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством РФ и иными применимыми нормативными правовыми актами РФ

5. Цели обработки ПДн, категории и перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, способы, сроки обработки и хранения ПДн, порядок их уничтожения

5.1. Обработка ПДн субъектов ПДн осуществляется Компанией в заранее определенных целях. В зависимости от конкретных целей обработки ПДн такая обработка может включать в себя, в частности, совершение всех или некоторых из следующих действий (операций) с ПДн: сбор (получение), запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

Для каждой цели обработки ПДн в Компании определены:

• категории и перечень обрабатываемых ПДн;

• категории субъектов ПДн, ПДн которых обрабатываются Компанией;

• способы и сроки обработки и хранения ПДн;

• порядок уничтожения ПДн.

5.2. Цели обработки ПДн и соответствующие им категории и перечень обрабатываемых ПДн, категории субъектов ПДн приведены в Приложении №1 к настоящей Политике, являющемся ее неотъемлемой частью.

5.3. Для целей обработки ПДн, указанных в Приложении № 1 к настоящей Политике предусмотрены следующие способы обработки ПДн:

• автоматизированная обработка ПДн (с использованием средств вычислительной техники);

• неавтоматизированная обработка ПДн (без использования средств вычислительной техники) с фиксацией ПДн на материальных носителях.

При обработке ПДн автоматизированном способом Компания принимает необходимые меры по обеспечению безопасности обрабатываемых ПДн.

Обработка ПДн неавтоматизированном способом, в т.ч. хранение материальных носителей ПДн, осуществляется в помещениях, обеспечивающих их сохранность, с возможностью определить места хранения ПДн (материальных носителей) в порядке, предусмотренном законодательством РФ.

5.4. Сроки обработки и хранения ПДн для каждой указанной в Приложении №1 к настоящей Политике цели обработки ПДн устанавливаются с учетом соблюдения требований, в т.ч. условий обработки ПДн, определенных законодательством РФ, и/или с учетом положений договора, стороной, выгодоприобретателем или поручителем по которому выступает субъект ПДн, и/или согласия субъекта ПДн на обработку его ПДн, при этом обработка и хранение ПДн осуществляются не дольше, чем этого требуют цели обработки ПДн, если иное не установлено законодательством РФ.

5.5. Порядок уничтожения ПДн. Уничтожение ПДн, обработка которых осуществляется в рамках целей, указанных в Приложении №1 к настоящей Политике, производится в случаях:

• достижения цели (целей) обработки ПДн или в случае утраты необходимости в достижении цели (целей) обработки ПДн, если иное не установлено Законом №152-ФЗ и/или иными применимыми нормативными правовыми актами РФ;

• выявления факта неправомерной обработки ПДн;

• отзыва субъектом ПДн согласия на обработку ПДн, если иное не предусмотрено Законом №152-ФЗ;

• предъявления субъектом ПДн требования о прекращении обработки ПДн, если иное не установлено Законом №152-ФЗ.

Способы уничтожения ПДн определяются локальными нормативными актами Компании по вопросам обработки и защиты ПДн в зависимости от способов обработки ПДн и материальных носителей ПДн, на которых осуществляется запись и хранение ПДн. Факт уничтожения ПДн подтверждается в порядке, предусмотренном п. 6.8. настоящей Политики.

6. Организация процесса управления обработкой ПДн в Компании

6.1. Обрабатывая ПДн, Компания руководствуется принципами, а также требованиями к порядку и условиям обработки ПДн, установленным положениями законодательства РФ, настоящей Политики, иных локальных нормативных актов Компании.

6.2. Осуществление сбора (получения) и дальнейшие действия (операции) по обработке ПДн производятся при соблюдении прав и законных интересов субъектов ПДн в рамках утвержденных процессов и/или локальных нормативных актов Компании, в которых определены:

• правовые основания (условия) и источники сбора (получения) ПДн;

• цели обработки ПДн, категории и перечень обрабатываемых ПДн, категории субъектов ПДн;

• сроки обработки и хранения ПДн;

• действия и способы обработки ПДн;

• порядок доступа работников Компании к ПДн и их обработке;

• порядок передачи ПДн третьим лицам, порядок распространения ПДн в отношении неопределенного круга лиц;

• порядок уточнения (обновления, изменения) ПДн;

• порядок архивного хранения ПДн;

• порядок прекращения обработки и уничтожения/обеспечения уничтожения ПДн (если обработка ПДн осуществляется лицом, действующим по поручению Компании).

Указанные процессы и/или локальные нормативные акты Компании не могут противоречить положениям законодательства РФ и настоящей Политики. В случае противоречия процессы и/или локальные нормативные акты Компании должны быть приведены в соответствие с положениями настоящей Политики и законодательства РФ.

6.3. В Компании определяется перечень лиц, осуществляющих обработку ПДн. Доступ к обрабатываемым ПДн предоставляется только тем работникам Компании, которым он необходим для выполнения ими конкретных функций в рамках исполнения должностных обязанностей. В должностные инструкции работников Компании и/или в трудовые договоры, в т.ч., если применимо, в дополнительные соглашения к трудовым договорам, включаются обязанности по обеспечению конфиденциальности и безопасности ПДн и меры ответственности за их невыполнение.

До начала обработки ПДн работники Компании, в трудовые функции и обязанности которых входит осуществление обработки ПДн, ознакомляются с положениями законодательства РФ о ПДн, в т.ч. с требованиями к защите ПДн, а также с требованиями локальных нормативных актов Компании, регламентирующих вопросы обработки и защиты ПДн.

6.5. При обработке ПДн в Компании обеспечивается своевременное уточнение (обновление, изменение) ПДн субъекта ПДн, которое осуществляется, в частности, в случае подтверждения факта неточности ПДн на основании:

• обращения в Компанию субъекта ПДн, его представителя (обладающего полномочиями на представление интересов субъекта ПДн), Надзорного органа с документами, подтверждающими факт неточности и изменение ПДн;

• установления Компанией расхождений между ранее полученными ПДн субъекта ПДн и ПДн, предоставляемыми субъектом ПДн, его представителем, (обладающим полномочиями на представление интересов субъекта ПДн), надзорным органом наряду с подтверждающими документами.

6.6. Получение Компанией ПДн от третьего лица и/или передача (предоставление, доступ) ПДн третьему лицу, а также поручение обработки ПДн третьему лицу допускается с согласия субъекта ПДн на обработку ПДн, в т.ч. предоставленного третьему лицу, или при наличии иных оснований, предусмотренных законодательством РФ. Получение Компанией ПДн от третьего лица и/или передача (предоставление, доступ) ПДн третьему лицу, а также поручение обработки ПДн третьему лицу осуществляется на основании соответствующего договора с третьим лицом, включающего в себя условия обработки ПДн, требования к обеспечению конфиденциальности и безопасности ПДн при их обработке и иные требования в соответствии с Законом №152-ФЗ.

Передача ПДн государственным органам власти и учреждениям, муниципальным органам власти, государственным внебюджетным фондам, а также получение ПДн от государственных органов власти и учреждений, муниципальных органов власти, государственных внебюджетных фондов допускается в отсутствие согласия субъекта ПДн на обработку его ПДн в порядке и в случаях, предусмотренных Законодательством РФ.

Трансграничная передача ПДн осуществляется с учетом условий и ограничений, установленных Законом №152-ФЗ. До начала трансграничной передачи ПДн проводится оценка мер, принимаемых третьим лицом, которому планируется трансграничная передача ПДн, по обеспечению конфиденциальности и безопасности ПДн. Порядок проведения оценки устанавливается локальными нормативными актами Компании. О планируемой трансграничной передаче ПДн Компания уведомляет Надзорный орган в порядке, предусмотренном законодательством РФ и локальными нормативными актами Компании.

6.7. Обработка ПДн прекращается при достижении целей такой обработки, а также по истечении срока, предусмотренного законодательством РФ, договором или согласием субъекта ПДн на обработку его ПДн. В случае отзыва субъектом ПДн согласия на обработку его ПДн и/или требования о прекращении обработки ПДн Компания вправе продолжить обработку ПДн без согласия субъекта ПДн при условии наличия оснований (условий обработки ПДн), предусмотренных Законом №152-ФЗ

6.8. В случае отсутствия у Компании правовых оснований на обработку ПДн (условий обработки ПДн) Компания в порядке, установленном Законом №152-ФЗ, производит уничтожение ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется лицом, действующим по поручению Компании). Уничтожение производится посредством осуществления действий, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и/или в результате которых уничтожаются материальные носители ПДн. По результатам проведенного уничтожения составляется Акт об уничтожении ПДн и формируется запись в электронном журнале регистрации событий в ИСПДн[1] в соответствии с требованиями приказа Роскомнадзора от 28.10.2022 №179[2] «Об утверждении Требований к подтверждению уничтожения ПДн», или, в случае утраты силы, признания недействующим указанных требований полностью или в части, в соответствии с положениями законодательства РФ.

7. Основы порядка рассмотрения обращений субъектов ПДн по вопросам обработки ПДн

В целях соблюдения прав и законных интересов субъектов ПДн, требований к срокам обработки обращений и/или запросов, обеспечения качества и полноты принятия мер в отношении законного требования субъекта ПДн и для предоставления необходимой информации по его обращению и/или запросу осуществляется прием и обработка обращений субъектов ПДн, а также контроль обеспечения такого приема и обработки.

При рассмотрении обращений и/или запросов субъектов ПДн Компания руководствуется положениями законодательства РФ, согласно которым запрос и/или обращение, направляемый и/или направляемое субъектом ПДн, должен/должно содержать информацию, предусмотренную Законом №152-ФЗ, а именно:

• номер основного документа, удостоверяющего личность субъекта ПДн или его представителя;

• сведения о дате выдачи указанного документа и выдавшем его органе;

• сведения, подтверждающие участие субъекта ПДн в отношениях с Компанией (номер договора, дата заключения договора, условное словесное обозначение и/или иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Компанией;

• подпись субъекта ПДн или его представителя.

В случае, если обращение и/или запрос направлены в форме электронного документа, то документ подписывается электронной подписью в соответствии с Законодательством РФ.

Предоставление информации и/или принятие иных мер в связи с поступлением обращений и/или запросов от субъектов ПДн производится Компанией в объеме и сроки, предусмотренные Законодательством РФ. Установленный Законодательством РФ срок ответа субъекту ПДн на обращение и/или запрос о предоставлении информации, касающейся обработки его ПДн, может быть продлен на основании установленных Законом №152-ФЗ ограничений с направлением в адрес субъекта ПДн мотивированного уведомления, содержащего сведения о причинах продления срока предоставления запрашиваемой информации.

Компания, получив обращение и/или запрос субъекта ПДн и убедившись в его законности, предоставляет субъекту ПДн и/или его представителю, обладающему полномочиями на представление интересов субъекта ПДн, сведения, указанные в запросе, в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе, и/или принимает иные меры в зависимости от специфики (особенностей) обращения и/или запроса. Предоставляемые Компанией сведения не могут содержать ПДн, принадлежащие другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких ПДн.

Компания вправе отказать субъекту ПДн в удовлетворении требований, указанных в обращении и/или запросе, путем направления субъекту ПДн или его представителю мотивированного отказа, если у Компании в соответствии с Законодательством РФ имеются законные основания отказать в выполнении/удовлетворении поступивших требований.

В Компании осуществляется контроль за приемом и обработкой обращений субъектов ПДн в целях обеспечения соблюдения прав и законных интересов субъектов ПДн, требований к срокам обработки обращений, обеспечения качества и полноты принятия мер в отношении законного требования субъекта ПДн и предоставления необходимой информации по его обращению в соответствии с локальными нормативными актами Компании.

8. Меры обеспечения конфиденциальности и безопасности ПДн

Для обеспечения конфиденциальности и безопасности ПДн субъектов ПДн, защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн в соответствии с Законом №152-ФЗ Компанией принимаются необходимые правовые, организационные и технические меры или обеспечивается их принятие (если обработка ПДн осуществляется лицом, действующим по поручению Компании). В частности, принимаются следующие меры:

• определяются актуальные угрозы безопасности ПДн, обрабатываемых в ИСПДн, и применяются соответствующие организационные и технические меры защиты для установленных уровней защищенности ПДн;

• для нейтрализации актуальных угроз безопасности ПДн применяются средства защиты информации, соответствующие уровням защищенности ПДн и прошедшие в установленном порядке процедуру оценки соответствия;

• проводится оценка эффективности принимаемых/реализованных мер защиты и обеспечения безопасности ПДн, в том числе до ввода информационных систем в эксплуатацию (оценка может проводиться самостоятельно и/или с привлечением на договорной основе юридических лиц, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации);

• обеспечиваются пропускной режим и управление доступом к ПДн, техническим средствам, используемым при обработке ПДн, средствам защиты информации, средствам обеспечения функционирования информационных систем, а также пропускной режим и управление доступом в помещения и сооружения, в которых установлены указанные средства;

• обеспечиваются регистрация и учет всех действий, совершаемых с ПДн в ИСПДн;

• осуществляется организация учета технических средств, входящих в состав ИСПДн, а также машинных носителей;

• определяется и при необходимости актуализируется перечень лиц (работников Компании), которым для выполнения трудовых обязанностей необходим доступ к ПДн, обработка которых производится в ИСПДн, а также обеспечивается предоставление доступа к обрабатываемым ПДн тем работникам Компании, которым необходим указанный доступ в связи с выполнением ими трудовых обязанностей;

• обеспечивается автоматическая регистрация событий безопасности, связанных с изменением прав доступа к ПДн;

• обеспечивается доступ к содержанию событий безопасности ограниченному кругу лиц, в частности, реализуется размещение ИСПДн Компании внутри защищенного периметра, расположенного в пределах контролируемой зоны;

• реализуются меры, направленные на предупреждение и обнаружение фактов несанкционированного доступа к ПДн, и принятие мер, в том числе мер по предупреждению, обнаружению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них;

• обеспечивается восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

• осуществляется эксплуатация разрешенного к использованию программного обеспечения и/или его компонентов, а также обеспечивается контроль за его установкой и обновлением;

• осуществляется выявление инцидентов и реагирование на них, реализуются меры по устранению инцидентов в случае их появления;

• осуществляется в необходимом объеме взаимодействие с ГосСОПКА;

• проводится внешний и внутренний инструментальный контроль защищенности системных компонентов информационной структуры на наличие уязвимостей;

• реализуется контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.

Помимо этого, проводится оценка вреда, который может быть причинен субъектам ПДн в случае нарушения Закона №152-ФЗ, а также соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом №152-ФЗ.

9. Права и обязанности Компании, права субъекта ПДн

9.1. Компания обязана:

• при обработке ПДн соблюдать требования Законодательства РФ в отношении обработки и защиты ПДн, в том числе требования, предусмотренные для сбора ПДн;

• при сборе ПДн, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн субъектов ПДн (граждан РФ) с использованием баз данных, находящихся на территории РФ, за исключением случаев, предусмотренных Законодательством РФ;

• при сборе ПДн с использованием информационно-телекоммуникационных сетей, опубликовать в соответствующей информационно-телекоммуникационной сети, в т.ч. на страницах принадлежащего Компании сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор ПДн, документ, определяющий его политику в отношении обработки ПДн, и сведения о реализуемых требованиях к защите ПДн, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети;

• в случае, если предоставление ПДн и/или согласия на их обработку является обязательным в соответствии с требованиями Законодательства РФ и субъект ПДн отказывается предоставить ПДн и/или предоставить согласие на их обработку, разъяснить юридические последствия непредоставления ПДн и/или согласия на их обработку;

• в случае получения ПДн не от субъекта ПДн до начала обработки ПДн предоставить субъекту ПДн информацию, предусмотренную Законом №152-ФЗ, с учетом установленных Законодательством РФ исключений;

• выполнять обязанности, предусмотренные для операторов ПДн, при получении запросов и/или обращений по вопросам ПДн от субъекта ПДн и/или его представителя (обладающего полномочиями на представление интересов субъекта ПДн), и/или от надзорного органа;

• принимать меры, направленные на обеспечение выполнения требований Закона №152-ФЗ;

• принимать меры по обеспечению безопасности ПДн при их обработке;

• выполнять обязанности по устранению нарушений Законодательства РФ, если такие нарушения были допущены при обработке ПДн, а также выполнять обязанности по уточнению, блокированию, уничтожению ПДн в случаях, предусмотренных Законодательством РФ;

• выполнять обязанности, установленные Законом №152-ФЗ для Операторов ПДн, в случае получения от субъекта ПДн требования о прекращении обработки ПДн и/или отзыва согласия на обработку ПДн;

• взаимодействовать с надзорным органом по вопросам, связанным с обработкой и защитой ПДн, в случаях, предусмотренных Законом №152-ФЗ;

• выполнять иные обязанности, предусмотренные Законодательством РФ.

9.2. Компания имеет право:

• обрабатывать ПДн субъектов ПДн в отсутствие согласия на обработку ПДн в случаях, предусмотренных Законом №152-ФЗ;

• осуществлять передачу ПДн субъектов ПДн третьим лицам, государственным органам, муниципальным органам власти, государственным учреждениям, государственным внебюджетным фондам, а также поручить обработку ПДн субъектов ПДн третьим лицам при наличии соответствующих правовых оснований и соблюдении требований Закона №152-ФЗ;

• отказать субъекту ПДн в предоставлении сведений об обработке его ПДн в случаях, предусмотренных Законом №152-ФЗ;

• самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом №152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законодательством РФ;

• самостоятельно, с учетом требований Закона №152-ФЗ, определять перечень необходимых правовых, организационных и технических мер для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн на основании проведенной оценки актуальных угроз безопасности ПДн, а также определять порядок реализации указанных мер и проводить оценку эффективности принимаемых мер;

• реализовывать иные права, предусмотренные Законодательством РФ.

9.3. Субъект ПДн имеет право:

• свободно, своей волей и в своем интересе предоставлять согласие на обработку ПДн с учетом требований Закона №152-ФЗ к форме и содержанию согласий на обработку ПДн;

• направлять запросы и/или обращения, в том числе повторные, и получать информацию по вопросам обработки ПДн, принадлежащих субъекту ПДн, в порядке, форме, объеме и в сроки, установленные Законодательством РФ;

• требовать от Компании уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные Законодательством РФ меры по защите своих прав с учетом исключений, установленных Законом №152-ФЗ;

• обратиться с требованием к Компании прекратить обработку своих ПДн, а также отозвать предоставленное согласие на обработку ПДн;

• осуществлять иные права, предусмотренные Законодательством РФ.

10. Заключительные положения

Настоящая Политика вводится в действие и становится обязательной для исполнения всеми Работниками Компании с момента ее утверждения.

Настоящая Политика может быть изменена в любой момент времени по усмотрению Компании, в т.ч. в случаях изменения законодательства РФ или локальных нормативных актов Компании, определяющих порядок обработки и защиты ПДн.

В случае, если по тем или иным причинам одно или несколько положений настоящей Политики будут признаны недействительными или не имеющими юридической силы, данные обстоятельства не оказывают влияния на действительность или применимость остальных положений Политики.

Работники Компании несут ответственность за несоблюдение требований к обработке и защите ПДн, в т.ч. за разглашение или незаконное использование ПДн, в порядке и при наступлении условий, предусмотренных Трудовым кодексом РФ, а также могут быть привлечены к гражданско-правовой, административной и уголовной ответственности в порядке, предусмотренном применимыми нормативными правовыми актами РФ.

Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки ПДн.

Политика в отношении обработки ПДн Компании публикуется на сайте Компании в информационно-телекоммуникационной сети «Интернет». К Политике обеспечивается неограниченный доступ.

Контактная информация

Любые обращения, касающиеся обработки ПДн, направляются Компании на электронную почту: pdn@sveza.com, либо на почтовый адрес: 192012, г. Санкт-Петербург, проспект Обуховской Обороны, д. 112, к. 2, литера З.

[1] При автоматизированной обработке

[2] Приказ Роскомнадзора от 28.10.2022 №179 «Об утверждении Требований к подтверждению уничтожения ПДн»

Политика в отношении обработки ПДн