УТВЕРЖДЕНО
Приказом Общества с ограниченной ответственностью «Центр деловых коммуникаций «Форум Скиллс» № 08−02 ОК
от «16» августа 2023 г.
ПОЛИТИКА ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ООО «ЦЕНТР ДЕЛОВЫХ КОММУНИКАЦИЙ «ФОРУМ СКИЛЛС»
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных в ООО ««Центр деловых коммуникаций «Форум Скиллс» (далее — Политика) разработана в соответствии с действующим законодательством РФ и в целях реализации ООО ««Центр деловых коммуникаций «Форум Скиллс» (далее — Компания, Оператор) положений законодательства РФ, которыми определены случаи и особенности обработки персональных данных, а также установлены требования к обработке персональных данных, и направлена на обеспечение защиты прав и свобод человека и гражданина (Субъекта персональных данных) при организации и/или осуществлении обработки его персональных данных Компанией, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика является основой для организации обработки и защиты персональных данных в Компании, в том числе для разработки локальных нормативных актов, регламентирующих порядок обработки и защиты персональных данных в Компании, и определяет:
— принципы обработки персональных данных, которыми руководствуется Компания при осуществлении деятельности;
— правовые основания обработки персональных данных;
— цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов персональных данных, персональные данные которых обрабатываются, способы, сроки обработки и хранения персональных данных, порядок их уничтожения;
— основных участников системы управления процессом обработки и защиты персональных данных;
— основы организации процесса управления обработкой персональных данных;
— основы порядка рассмотрения обращений субъектов персональных данных по вопросам обработки персональных данных;
— меры обеспечения конфиденциальности и безопасности персональных данных;
— права и обязанности Компании и субъектов персональных данных.
1.3. Требования настоящей Политики являются обязательными для исполнения всеми работникам Компании.
1.4. Ознакомление работников Компании с условиями, в том числе с изменениями условий настоящей Политики, осуществляется под подпись.
1.5. Субъекты персональных данных могут ознакомиться с условиями настоящей Политики в информационно-телекоммуникационной сети «Интернет» на официальном сайте Компании, размещенном по интернет-адресу: nevastroiforum.ru/.
2. Термины и определения
Автоматизированная обработка персональных данных — обработка персональных данных с использованием средств вычислительной техники.
Компания/Оператор — ООО ««Центр деловых коммуникаций «Форум Скиллс».
Безопасность персональных данных — состояние защищенности персональных данных, которое характеризуется способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке.
Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности Субъекта персональных данных, позволяют установить (идентифицировать) его личность.
Доступ к персональным данным — возможность получения персональных данных и их использования.
Законодательство РФ — совокупность положений нормативных правовых актов РФ, которыми определены случаи и особенности обработки персональных данных, а также установлены требования к обработке персональных данных.
Клиент — 1) физическое лицо; 2) юридическое лицо; 3) физическое лицо, осуществляющее предпринимательскую деятельность без образования юридического лица (индивидуальный предприниматель); 4) физическое лицо, занимающееся частной практикой в порядке, установленном законодательством РФ; 5) физическое лицо, применяющее специальный налоговый режим (самозанятый), заключившее договор, на основании и во исполнение, которого Компания предоставляет Клиенту продукты и/или сервисы, и/или услуги.
Конфиденциальность персональных данных — обязательное для соблюдения Компанией или иным получившим доступ к персональным данным лицом требование не допускать их передачи в отсутствие согласия Субъекта персональных данных или наличия иного законного основания.
Материальный носитель ПДн — бумажный, электронный, машинный и прочие носители информации, используемые для воспроизведения (в том числе копирования, скачивания, сохранения, записи) и/или хранения информации, содержащей ПДн, обрабатываемой в автоматизированном виде (с использованием средств вычислительной техники) и не автоматизированном виде (без использования средств вычислительной техники).
Надзорный орган — орган, уполномоченный на осуществление государственного контроля (надзора) за соответствием обработки персональных данных требованиям Законодательства Р Ф о персональных данных (Роскомнадзор).
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными с использованием средств автоматизации или без использования таких средств, включая сбор (получение), запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Обработка персональных данных без использования средств автоматизации (неавтоматизированная обработка персональных данных) — обработка персональных данных, осуществляемая при непосредственном участии человека.
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (Субъекту персональных данных).
Потенциальный клиент — 1) физическое лицо, которое обратилось за продуктами и/или сервисами, и/или услугами Компании, в том числе за консультацией относительно условий договора, преимуществ продуктов и/или сервисов, и/или услуг, и/или заинтересовано в получении/приобретении указанных продуктов, сервисов, услуг, но еще не заключило договор, на основании которого может получить указанные продукты и/или сервисы, и/или услуги.
Работник — лицо, состоящее с Компанией в трудовых отношениях на основании заключенного трудового договора.
Родственник — близкие родственники (родственники по прямой восходящей и нисходящей линии: родители и дети, дедушки, бабушки и внуки, — полнородные и не полнородные (имеющие общих отца и мать) братья и сестры), супруг/супруга, а также усыновители и усыновленные.
Субъект персональных данных — прямо или косвенно определенное, или определяемое физическое лицо.
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных и/или в результате которых уничтожаются Материальные носители персональных данных.
3. Принципы обработки персональных данных
Организация обработки и защиты персональных данных в Компании, а также реализация процессов, в которых осуществляется обработка персональных данных, производится с учетом общих принципов обработки персональных данных, которые являются основой соблюдения требований законодательства РФ, обеспечения конфиденциальности и безопасности персональных данных субъектов персональных данных, а также защиты прав субъектов персональных данных. Среди таких принципов:
— осуществление обработки персональных данных на законной и справедливой основе;
— обеспечение ограничения обработки персональных данных заранее определенными и законными целями обработки персональных данных, в том числе недопущение обработки персональных данных, несовместимой с целями сбора (получения) персональных данных;
— обработка исключительно тех персональных данных, которые отвечают целям обработки персональных данных;
— недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
— обеспечение соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки персональных данных, в том числе недопущение обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
— обеспечение точности персональных данных, их достаточности и в необходимых случаях актуальности по отношению к целям обработки персональных данных;
— осуществление хранения персональных данных в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки, если иной срок хранения персональных данных не установлен законодательством РФ и/или договором;
— уничтожение персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.
4. Правовые основания обработки персональных данных
Правовые основания обработки персональных данных субъектов персональных данных устанавливаются с учетом определенных условий обработки персональных данных. Правовыми основаниями обработки персональных данных, на основании которых допускается обработка персональных данных в Компании, являются:
4.1. согласие субъекта персональных данных на обработку персональных данных с учетом требований, предусмотренных законодательством РФ для соответствующей категории персональных данных;
4.2. положения нормативных правовых актов, во исполнение которых и в соответствии с которыми Компания осуществляет обработку персональных данных;
4.3. судебные акты, акты другого органа или должностного лица, подлежащие исполнению Компанией в соответствии с положениями законодательства РФ;
4.4. договор, стороной которого либо выгодоприобретателем, по которому является субъект персональных данных, если обработка персональных данных необходима для заключения указанного договора или исполнения обязательств по договору;
4.5. обеспечение и/или осуществление защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
4.6. права и законные интересы Компании, третьих лиц, иных лиц либо достижение общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
4.7. обработка персональных данных в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;
4.8. обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством РФ и иными применимыми нормативными правовыми актами РФ;
4.9. обработка персональных данных необходима для осуществления научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
5. Цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки обработки и хранения персональных данных, порядок их уничтожения
Обработка персональных данных субъектов персональных данных осуществляется Компанией в заранее определенных целях. В зависимости от конкретных целей обработки персональных данных такая обработка может включать в себя, в частности, совершение всех или некоторых из следующих действий (операций) с персональными данными: сбор (получение), запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, уничтожение персональных данных.
5.1. В отношении работников Компании целью обработки персональных данных является: «Организация, обеспечение и регулирование трудовых и непосредственно связанных с ним отношений». При наличии и с учетом условий (правовых оснований) обработки персональных данных, допускается обработка следующих персональных данных:
— фамилия; имя; отчество; адрес (адрес регистрации (по месту жительства/пребывания); адрес проживания (фактический адрес); контактные данные (номер телефона, адрес электронной почты); дата рождения/возраст; город проживания; гражданство/резидентство; данные документов, удостоверяющих личность (документов, которые в соответствии с применимым законодательством РФ подпадают под категорию документов, удостоверяющих личность); сведения о смене, а также реквизиты ранее выданного документа, удостоверяющего личность; данные миграционной карты (при наличии); данные о налоговых вычетах; место рождения; данные свидетельства/акта о смерти; идентификационный номер налогоплательщика; сведения о доходах; сведения об образовании (в том числе ученая степень/звание, образовательное учреждение, год обучения, специальность); подпись; пол; сведения о налоговом статусе; страховой номер индивидуального лицевого счета (СНИЛС); сведения о семейном положении; сведения о детях (в том числе сведения свидетельства о рождении ребенка); сведения свидетельства о браке; сведения о хобби, интересах, личности; сведения об исполнительных листах/судебных приказах, включая сведения о выплате алиментов; сведения, указанные в водительском удостоверении; сведения, указанные в свидетельстве о регистрации транспортного средства; сведения о социальных и иных льготах; статус в качестве военнообязанного; фотографическое изображение; сведения, содержащиеся в документах воинского учета; уровень владения иностранными языками; сведения о работе, в том числе сведения о трудовом стаже и трудовой деятельности (включая сведения о местах работы (наименование, организация, должность, период/стаж работы), должность, структурное подразделение, функциональный блок, сведения о профессии, расположении рабочего места, табельный номер, данные о кадровых мероприятиях (включая дату приема на работу/увольнения, переводов на другую работу); информация из системы учета посещений, полученных при выполнении трудовых обязанностей; данные о категориях для премирования; коэффициенты и суммы премирования; сведения о заработной плате; результаты обучения, тестирований; результаты обучения по системам оценивания личной эффективности, в том числе ключевые показатели эффективности; результаты, полученные в результате проведенных оценочных мероприятий/тестирований у Работодателя; сведения из систем организации корпоративного календаря; сведения о достижениях; сведения о награждениях и поощрениях; прочие персональные данные, необходимые для достижения цели обработки персональных данных, сбор (получение) которых осуществляется при наличии и с учетом условий (правовых оснований) обработки персональных данных;
— сведения о состоянии здоровья; сведения о судимости.
5.2. В отношении клиентов Компании целью обработки персональных данных является: «Предоставление продуктов, сервисов и услуг Клиентам и/или Потенциальным клиентам, включая взаимодействие по вопросам предоставления и сопровождения продуктов, сервисов и услуг». При наличии и с учетом условий (правовых оснований) обработки персональных данных, допускается обработка следующих персональных данных: фамилия; имя; отчество; контактная информация (адрес электронной почты; номер телефона); данные документов, удостоверяющих личность (данные паспорта и иных документов, которые в соответствии с применимым Законодательством Р Ф подпадают под категорию документов, удостоверяющих личность); сведения о смене ранее выданного документа, удостоверяющего личность; возраст; дата рождения; место рождения; город проживания; адрес (в зависимости от процесса и/или продукта, сервиса, услуги, в том числе, адрес регистрации по месту жительства/пребывания; адрес фактического проживания; адрес доставки; рабочий адрес); гражданство; пол; сведения о работе, в том числе о месте работы, должности; идентификационный номер налогоплательщика; сведения о дееспособности, не связанные с состоянием здоровья; страховой номер индивидуального лицевого счета (СНИЛС); номер договора; сведения, полученные в рамках заключенных договоров, использования соответствующих продуктов/сервисов; сведения о выбранных/полученных товарах (продуктах)/услугах; сведения об образовании; сведения о налоговом статусе; сведения о семейном положении; сведения о смене фамилии, и/или имени, и/или отчества; подпись; прочие персональные данные, необходимые для достижения цели обработки персональных данных, сбор (получение) которых осуществляется при наличии и с учетом условий (правовых оснований) обработки персональных данных.
5.3. Для каждой цели обработки персональных данных предусмотрены следующие способы обработки персональных данных: автоматизированная обработка персональных данных (с использованием средств вычислительной техники) и неавтоматизированная обработка персональных данных (без использования средств вычислительной техники) с фиксацией персональных данных на материальных носителях. Обработка Компанией персональных данных автоматизированным способом и неавтоматизированным способом осуществляется с соблюдением требований законодательства РФ, регламентирующих вопросы обработки и защиты персональных данных. При обработке персональных данных автоматизированном способом Компания принимает необходимые меры по обеспечению безопасности обрабатываемых персональных данных. Обработка персональных данных неавтоматизированном способом, в том числе хранение материальных носителей персональных данных, осуществляется в помещениях, обеспечивающих их сохранность, с возможностью определить места хранения персональных данных (материальных носителей) в порядке, предусмотренном законодательством РФ.
5.4. Сроки обработки и хранения персональных данных для каждой указанной цели обработки персональных данных устанавливаются с учетом соблюдения требований, в том числе условий обработки персональных данных, определенных законодательством РФ, и/или с учетом положений договора, стороной, выгодоприобретателем по которому выступает субъект персональных данных, и/или согласия субъекта персональных данных на обработку его персональных данных, при этом обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если иное не установлено законодательством РФ.
5.5. Уничтожение персональных данных, обработка которых осуществляется в рамках целей обработки персональных данных и производится в следующих случаях:
— при достижении цели (целей) обработки персональных данных или в случае утраты необходимости в достижении цели (целей) обработки персональных данных, если иное не установлено применимыми нормативными правовыми актами РФ;
— при выявлении факта неправомерной обработки персональных данных;
— при отзыве субъектом персональных данных согласия на обработку персональных данных;
— при предъявлении субъектом персональных данных требования о прекращении обработки персональных данных.
Способы уничтожения персональных данных определяются в зависимости от способов обработки персональных данных и материальных носителей персональных данных, на которых осуществляется запись и хранение персональных данных. Факт уничтожения персональных данных подтверждается актом об уничтожении персональных данных или записью в информационной системе.
6. Организация процесса управления обработкой персональных данных
6.1. Обрабатывая персональные данные, Компания руководствуется принципами, а также требованиями к порядку и условиям обработки персональных данных, установленным положениями законодательства РФ и настоящей Политики.
6.2. Осуществление сбора (получения) и дальнейшие действия (операции) по обработке персональных данных производятся при соблюдении прав и законных интересов субъектов персональных данных в рамках утвержденных процессов, в частности:
— правовые основания (условия) и источники сбора (получения) персональных данных;
— цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов персональных данных;
— сроки обработки и хранения персональных данных;
— порядок доступа работников Компании к персональным данным и их обработке;
— порядок передачи персональных данных третьим лицам/иным лицам (если применимо, в том числе государственным органам и/или учреждениям, государственным внебюджетным фондам, муниципальным органам), порядок распространения персональных данных в отношении неопределенного круга лиц;
— порядок уточнения (обновления, изменения) персональных данных;
— порядок архивного хранения персональных данных;
— порядок прекращения обработки и уничтожения.
Указанные процессы не могут противоречить положениям законодательства РФ и настоящей Политики. В случае противоречия между процессами Компании и положениями законодательства РФ и/или настоящей Политики указанные процессы должны быть приведены в соответствие с положениями настоящей Политики и законодательства РФ.
6.3. В Компании определяется перечень лиц, осуществляющих обработку персональных данных. Доступ к обрабатываемым персональным данным предоставляется только тем работникам Компании, которым он необходим для выполнения ими конкретных функций в рамках исполнения должностных обязанностей. До начала обработки персональных данных работники Компании, в трудовые функции и обязанности которых входит осуществление обработки персональных данных, ознакомляются под подпись с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, а также с требованиями ЛНД, регламентирующих вопросы обработки и защиты персональных данных.
6.4. При обработке персональных данных в Компании обеспечивается своевременное уточнение (обновление, изменение) персональных данных субъекта персональных данных, которое осуществляется, в частности, в случае подтверждения факта неточности персональных данных на основании:
— обращения в Компанию субъекта персональных данных, его представителя (обладающего полномочиями на представление интересов субъекта персональных данных), надзорного органа с документами, подтверждающими факт неточности и изменение персональных данных;
— установления Компанией расхождений между ранее полученными персональными данными субъекта персональных данных и персональными данными, предоставляемыми субъектом персональных данных, его представителем, (обладающим полномочиями на представление интересов субъекта персональных данных), надзорным органом наряду с подтверждающими документами.
6.5. Получение Компанией персональных данных от третьего лица/иных лиц и/или передача (предоставление, доступ) персональных третьему лицу/иному лицу, а также поручение обработки персональных данных третьему лицу/иному лицу допускается с согласия субъекта персональных данных на обработку персональных данных, в том числе предоставленного третьему лицу/иному лицу, или при наличии иных оснований, предусмотренных законодательством РФ. Получение Компанией персональных данных от третьего лица/иного лица и/или передача (предоставление, доступ) персональных данных третьему лицу/иному лицу (если применимо), а также поручение обработки персональных данных третьему лицу/иному лицу осуществляется на основании соответствующего договора с третьим лицом/иным лицом, включающего в себя условия обработки персональных данных, требования к обеспечению конфиденциальности и безопасности персональных данных при их обработке.
Передача персональных данных государственным органам власти и учреждениям, муниципальным органам власти, государственным внебюджетным фондам, а также получение персональных данных от государственных органов власти и учреждений, муниципальных органов власти, государственных внебюджетных фондов допускается в отсутствие согласия субъекта персональных данных на обработку его персональных данных в порядке и в случаях, предусмотренных законодательством РФ.
6.6. Обработка персональных данных прекращается при достижении целей такой обработки, а также по истечении срока, предусмотренного законодательством РФ, договором или согласием субъекта персональных данных на обработку его персональных данных. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных и/или требования о прекращении обработки персональных данных Компания вправе продолжить обработку персональных данных без согласия субъекта персональных данных при условии наличия оснований (условий обработки персональных данных).
6.7. В случае отсутствия у Компании правовых оснований на обработку персональных данных (условий обработки персональных данных) Компания производит уничтожение персональных данных или обеспечивает их уничтожение (если обработка персональных данных осуществляется лицом, действующим по поручению Компании). Уничтожение производится посредством осуществления действий, в результате которых становится невозможным восстановить содержание персональных данных и/или в результате которых уничтожаются материальные носители персональных данных. По результатам проведенного уничтожения составляется акт об уничтожении персональных данных или формируется запись в электронном журнале регистрации событий в соответствии с положениями законодательства РФ.
7. Порядок рассмотрения обращений и/или запросов субъектов персональных данных
В целях соблюдения прав и законных интересов субъектов персональных данных, требований к срокам обработки обращений и/или запросов, обеспечения качества и полноты принятия мер в отношении законного требования субъекта персональных данных и для предоставления необходимой информации по его обращению и/или запросу осуществляется прием и обработка обращений субъектов персональных данных, а также контроль обеспечения такого приема и обработки.
При рассмотрении обращений и/или запросов субъектов персональных данных Компания руководствуется положениями законодательства РФ, согласно которым запрос и/или обращение, направляемый и/или направляемое субъектом персональных данных, должен/должно содержать информацию, предусмотренную Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
Предоставление информации и/или принятие иных мер в связи с поступлением обращений и/или запросов от субъектов персональных данных производится Компанией в объеме и сроки, предусмотренные законодательством РФ. Установленный законодательством РФ срок ответа субъекту на обращение и/или запрос о предоставлении информации, касающейся обработки его персональных данных, может быть продлен на основании установленных ограничений с направлением в адрес субъекта персональных данных мотивированного уведомления, содержащего сведения о причинах продления срока предоставления запрашиваемой информации.
Компания, получив обращение и/или запрос субъекта персональных данных и убедившись в его законности, предоставляет субъекту персональных данных и/или его представителю, обладающему полномочиями на представление интересов субъекта персональных данных, сведения, указанные в запросе, в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе, и/или принимает иные меры в зависимости от специфики (особенностей) обращения и/или запроса. Предоставляемые Компанией сведения не могут содержать персональные данные, принадлежащие другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Компания вправе отказать субъекту персональных данных в удовлетворении требований, указанных в обращении и/или запросе, путем направления субъекту персональных данных или его представителю мотивированного отказа, если у Компании в соответствии с законодательством РФ имеются законные основания отказать в выполнении/удовлетворении поступивших требований.
8. Меры обеспечения конфиденциальности и безопасности персональных данных
8.1. В соответствии с требованиями нормативных документов Компания предпринимает правовые, организационные и технические меры защиты персональных данных.
8.2. Правовая защита представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование защиты персональных данных.
8.3. Организационная защита включает в себя организацию структуры управления защиты персональных данных, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
8.4. Техническая защита включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.
8.5. Основными мерами защиты персональных данных, используемыми Компанией, являются:
8.5.1. Назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением Компанией и его работниками требований к защите персональных данных.
8.5.2. Определение актуальных угроз безопасности персональных данных при их обработке и разработка мер и мероприятий по защите персональных данных.
8.5.3. Разработка политики и правил в отношении обработки персональных данных.
8.5.4. Установление правил доступа к персональным данным, обрабатываемым в Компании, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными.
8.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.
8.5.6. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
8.5.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
8.5.8. Соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.
8.5.9. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
8.5.10. Восстановление или уничтожение персональных данных вследствие
несанкционированного доступа к ним.
8.5.11. Обучение работников Компании, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Компании в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.
8.5.12. Осуществление внутреннего контроля и аудита.
9. Права и обязанности Компании, права субъекта персональных данных
9.1. Компания обязана:
— при обработке персональных данных соблюдать требования законодательства РФ в отношении обработки и защиты персональных данных, в том числе требования, предусмотренные для сбора персональных данных;
— при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных субъектов персональных данных (граждан РФ) с использованием баз данных, находящихся на территории РФ, за исключением случаев, предусмотренных законодательством РФ;
— при сборе персональных данных с использованием информационно-телекоммуникационных сетей, опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего Компании сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети;
— в случае, если предоставление персональных данных и/или согласия на их обработку является обязательным в соответствии с требованиями законодательства РФ и субъект персональных данных отказывается предоставить персональные данные и/или предоставить согласие на их обработку, разъяснить юридические последствия непредоставления персональных данных и/или согласия на их обработку;
— выполнять обязанности, предусмотренные для Операторов персональных данных, при получении запросов и/или обращений по вопросам персональных данных от субъекта персональных данных и/или его представителя (обладающего полномочиями на представление интересов субъекта персональных данных), и/или от надзорного органа;
— принимать меры по обеспечению безопасности персональных данных при их обработке;
— выполнять обязанности по устранению нарушений законодательства РФ, если такие нарушения были допущены при обработке персональных данных, а также выполнять обязанности по уточнению, блокированию, уничтожению персональных данных в случаях, предусмотренных законодательством РФ;
— выполнять обязанности, установленные для Операторов персональных данных, в случае получения от субъекта персональных данных требования о прекращении обработки персональных данных и/или отзыва согласия на обработку персональных данных;
— взаимодействовать с надзорным органом по вопросам, связанным с обработкой и защитой персональных данных, в случаях, предусмотренных действующим законодательством РФ;
— выполнять иные обязанности, предусмотренные законодательством РФ.
9.2. Компания имеет право:
— обрабатывать персональные данные субъектов персональных данных;
— осуществлять передачу персональных данных субъектов персональных данных третьим лицам, государственным органам, муниципальным органам власти, государственным учреждениям, государственным внебюджетным фондам, иным лицам (если применимо), а также поручить обработку персональных данных субъектов персональных данных третьим лицам, иным лицам при наличии соответствующих правовых оснований и соблюдении требований действующего законодательства РФ и настоящей Политики;
— отказать субъекту персональных данных в предоставлении сведений об обработке его персональных данных в случаях, предусмотренных действующим законодательством РФ и настоящей Политикой;
— самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей по обработке и защите персональных данных;
— самостоятельно, с учетом требований действующего законодательства РФ, определять перечень необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных на основании проведенной оценки актуальных угроз безопасности персональных данных, а также определять порядок реализации указанных мер и проводить оценку эффективности принимаемых мер;
— реализовывать иные права, предусмотренные законодательством РФ.
9.3. Субъект персональных данных имеет право:
— свободно, своей волей и в своем интересе предоставлять согласие на обработку персональных данных с учетом требований к форме и содержанию согласий на обработку персональных данных;
— направлять запросы и/или обращения, в том числе повторные, и получать информацию по вопросам обработки персональных данных, принадлежащих субъекту персональных данных, в порядке, форме, объеме и в сроки, установленные законодательством РФ;
— требовать от Компании уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством РФ меры по защите своих прав;
— обратиться с требованием к Компании прекратить обработку своих персональных данных, а также отозвать предоставленное согласие на обработку персональных данных;
— осуществлять иные права, предусмотренные законодательством РФ.
10. Заключительные положения
Настоящая Политика вводится в действие и становится обязательной для исполнения всеми Работниками Компании с момента ее утверждения.
Настоящая Политика может быть изменена в любой момент времени по усмотрению Компании.
В случае, если по тем или иным причинам одно или несколько положений настоящей Политики будут признаны недействительными или не имеющими юридической силы, данные обстоятельства не оказывают влияния на действительность или применимость остальных положений Политики.
Работники Компании несут ответственность за несоблюдение требований к обработке и защите персональных данных, в том числе за разглашение или незаконное использование персональных данных, а также могут быть привлечены к гражданско-правовой, административной и уголовной ответственности в порядке, предусмотренном применимыми нормативными правовыми актами РФ.
Политика в отношении обработки персональных данных Компании публикуется на официальном сайте Компании в информационно-телекоммуникационной сети «Интернет» по интернет-адресу: nevastroiforum.ru/. К Политике обеспечивается неограниченный доступ.