ПОЛИТИКА в отношении обработки персональных данных в Обществе с ограниченной ответственностью «Центр Обучения, Развития Бизнеса и Управленческих Стратегий»
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с п. 2 ст. 18.1 Федерального закона РФ «О персональных данных» №152-ФЗ от 27 июля 2006 года, иными нормативными актами и действует в отношении персональных данных, обрабатываемых в Обществе с ограниченной ответственностью «Центр Обучения, Развития Бизнеса и Управленческих Стратегий» (сокращенное наименование – ООО “ЦОРБУС”) (далее – Оператор).
1.2. Настоящая Политика устанавливает основные принципы обработки персональных данных (далее – ПД) в Обществе с ограниченной ответственностью «Центр Обучения, Развития Бизнеса и Управленческих Стратегий», цели, правовые основания, порядок и условия обработки ПД, определяет объем и категорию обрабатываемых ПД, а также реализуемые Оператором требования к их защите.
1.3. Настоящая Политика является общедоступным документом, размещаемым на сайте Оператора в информационно-телекоммуникационной сети «Интернет» на информационном ресурсе оператора https://tsorbus.ru, неограниченный доступ к которому предоставляется любому заинтересованному лицу.
1.4. В случае, если в результате договорных и иных гражданско-правовых отношений Оператора с третьими лицами, указанные лица могут получить доступ к персональным данным любых групп субъектов персональных данных, предусмотренных настоящим Положением, Оператор обязан взять с таких лиц письменное обязательство об обеспечении конфиденциальности персональных данных, обязательство использовать эти данные лишь в целях, для которых они сообщены и только разрешенными способами, а также обязательство принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Работники Оператора, получившие доступ к ПД в связи с исполнением своих служебных обязанностей информируются Оператором о конфиденциальности ПД и принимают на себя обязательство по их неразглашению.
Требование об оформлении указанного в настоящем пункте письменного обязательства не распространяются на случае передачи информации в уполномоченные государственные и муниципальные органы, государственные внебюджетные фонды.
1.5. Оператор имеет право вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента ее размещения на сайте Оператора, если иное не предусмотрено новой редакцией Политики.
1.6. Действующая редакция хранится в месте нахождения исполнительного органа Оператора по адресу: просп. 50 лет Октября, 71, Сызрань, Россия, электронная версия Политики – на сайте Оператора по адресу: https://tsorbus.ru/privacy-policy
2. Нормативная база
- Конституция Российской Федерации;
- Гражданский кодекс РФ;
- Трудовой кодекс РФ;
- Федеральный закон Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных» (далее – Федеральный закон №152-ФЗ);
- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Приказ Министерства культуры Российской Федерации от 25.08.2010 №558 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»;
- Приказ Росархива от 06.10.2000 «Перечень типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения»;
3. Термины и определения
Автоматизированная обработка персональных данных– обработка ПД с помощью средств вычислительной техники
Блокирование персональных данных – временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения ПД)
Оператор ПД (Оператор) – ООО «ЦОРБУС»
Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Представитель – физическое лицо, являющееся представителем физического или юридического лица, полномочия которого основаны на доверенности, договоре, законе либо акте уполномоченного на то государственного органа или органа местного самоуправления
Сведения о посетителях сайта– перечень данных пользователей, собираемых с помощью интернет-сервисов Яндекс Метрика и/или Google Analytics
Субъект персональных данных:
- физическое лицо или индивидуальный предприниматель, заключившее договор и/или планирующее договорные отношения с Оператором, в том числе через партнеров Оператора,
- физические лица, участвующие в образовательных и иных мероприятиях (вебинары, семинары и иные подобные мероприятия) ООО «ЦОРБУС» и его партнеров;
- представители либо сотрудники юридических лиц, сведения о которых юридические лица передают в ООО «ЦОРБУС»;
- посетители сайта https://tsorbus.ru;
- иные лица, обработка ПД которых необходима для наступления и/или исполнения договорных и иных гражданско-правовых отношений с ООО «ЦОРБУС»
Доступ к информации– возможность получения информации и ее использования (в частности копирование, модификация или уничтожение информации; получение субъектом возможности ознакомления с информацией, в том числе при помощи технических средств)
Информационная система персональных данных – совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств
Конфиденциальность персональных данных– требование не раскрывать, не предоставлять доступ третьим лицам и не допускать распространение ПД без согласия субъекта ПД или наличия иного основания согласно действующему законодательству Российской Федерации
Материальный носитель персональных данных – материальный объект, используемый для закрепления и хранения информации. В целях настоящей Политики под материальным носителем понимается бумажный документ, флэш-карта внешние жесткие диски, CD-, DVD-диски и т.п.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД
Партнер Оператора – юридическое или физическое лицо, сотрудничающее с Оператором в рамках осуществления его уставной деятельности в том числе, осуществляющее научную и/или образовательную деятельность и/или оказывающие консультационные услуги.
Предоставление персональных данных – действия, направленные на раскрытие ПД определенному лицу или определенному кругу лиц
Распространение персональных данных– действия, направленные на раскрытие ПД неопределенному кругу лиц, в том числе обнародование ПД в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом
Роскомнадзор – уполномоченный орган по защите прав субъектов ПД – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)
Сайт – страница ООО «ЦОРБУС» в информационно-телекоммуникационной сети «Интернет», электронный адрес которой включает доменное имя, права на которое принадлежат ООО «ЦОРБУС» https://tsorbus.ru
Трансграничная передача персональных данных – передача ПД на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПД в информационной системе ПД и (или) в результате которых уничтожаются материальные носители ПД
Цель обработки персональных данных – конкретный конечный результат действий, совершенных с ПД, вытекающий из требований действующего законодательства Российской Федерации либо договорных отношений сторон, и направленный на исполнение требований законодательства, а также на создание необходимых правовых условий для достижения оптимального учета интересов сторон
4. Принципы обработки персональных данных
4.1. Обработка персональных данных Оператора осуществляется на основании следующих принципов:
- законности и справедливости основания обработки ПД, законности целей и способов обработки ПД;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе ПД;
- соответствия содержания и объема обрабатываемых ПД, способов обработки ПД заявленным целям обработки ПД, недопустимости использования избыточного объема ПД по отношению к заявленным целям их обработки;
- обеспечения точности, достаточности и, в необходимых случаях, актуальности ПД по отношению к целям их обработки, недопустимости избыточности обрабатываемых ПД по отношению к заявленным целям их обработки;
- недопустимости объединения созданных для несовместимых между собой целей баз данных ПД.
4.2. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
5. Цели обработки персональных данных
5.1. Для каждой категории персональных данных Оператором определены и утверждены конкретные цели обработки. Обработка ПД, несовместимая с утвержденными целями, не допускается.
5.2. Персональные данные обрабатываются Оператором в целях:
- заключения, исполнения, изменения и прекращения договоров с Субъектом ПД и/или Партнерами Оператора и/или для реализации совместных проектов;
- проведения исследовательских работ;
- исполнения поручения на обработку персональных данных, полученного от третьих лиц
- осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей, в частности:
- сбора и анализа статистической информации;
- осуществления иных уставных целей Оператора.
5.3. Обрабатываемые ПД подлежат уничтожению либо обезличиванию по окончании срока хранения, достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
6. Категории обрабатываемых персональных данных
6.1. При определении состава обрабатываемых ПД субъектов персональных данных Оператор руководствуется минимально необходимым составом ПД для достижения целей получения персональных данных.
6.2. Оператором обрабатываются персональные данные следующих категорий субъектов:
6.2.1. Категория: физическое лицо или индивидуальный предприниматель, заключившее договор и/или планирующее договорные отношения с Оператором, в том числе через партнеров Оператора.
В состав обрабатываемых ПД могут входить:
- фамилия, имя, отчество;
- пол;
- число, месяц, год рождения, место рождения, страна рождения;
- данные документа, удостоверяющего личность (серия, номер, когда и кем выдан, код подразделения);
- место жительства;
- адрес регистрации;
- данные об образовании;
- гражданство; статус (резидент/нерезидент);
- сведения об ИНН, СНИЛС;
- реквизиты счетов субъектов ПД;
- контактные данные (телефон, электронный адрес, почтовый адрес);
- фото и видеоизображения;
- данные геолокации;
- IP – адрес;
- источник захода на сайт и информация поискового или иного запроса;
- данные о пользовательском устройстве (среди которых разрешение, версия и другие атрибуты, характеризующие пользовательское устройство);
- пользовательские клики, просмотры страниц, заполнения полей, показы и просмотры баннеров и видео;
- данные, характеризующие аудиторные сегменты;
- иные сведения о субъекте ПД в зависимости от оказываемых Оператору услуг и вида договорных отношений.
6.2.2. Категория: физические лица, участвующие в образовательных и иных мероприятиях (вебинары, семинары и иные подобные мероприятия) ООО “ЦОРБУС” и его партнеров.
В состав обрабатываемых ПД могут входить:
- фамилия, имя, отчество;
- пол;
- число, месяц, год рождения, место рождения, страна рождения;
- данные документа, удостоверяющего личность (серия, номер, когда и кем выдан, код подразделения);
- место жительства
- гражданство; статус (резидент/нерезидент); семейное положение;
- социальное положение (в т.ч. сведения о социальных льготах);
- сведения о законных представителях (фамилия, имя, отчество; пол; число, месяц, год рождения, место рождения, страна рождения; данные документа, удостоверяющего личность (серия, номер, когда и кем выдан, код подразделения); гражданство; статус (резидент/нерезидент); семейное положение; место жительства, дата и адрес (проживания, регистрации, постановки на учет);
- образование;
- дата и адрес (проживания, регистрации, постановки на учет);
- сведения об ИНН, СНИЛС;
- реквизиты счетов субъектов ПД;
- контактные данные (телефон, электронный адрес, почтовый адрес);
- фото и видеоизображения;
- сведения о посетителях сайта;
- cookie – файлы;
- сведения об интересах.
- фотография;
- идентификатор учетной записи, деловые и личные качества и любые иные данные, полученные с использованием мобильных и web-приложений, устанавливаемых или используемых на персональных устройствах, а также любыми иными способами в период проведения образовательных и иных мероприятий, в том числе цифровые аудио и видео-записи мероприятий, фотоматериалы, программные продукты, документы и любые другие цифровые ресурсы, созданные в процессе мероприятий;
- результаты обучения;
- данные геолокации;
- IP – адрес;
- источник захода на сайт и информация поискового или иного запроса;
- данные о пользовательском устройстве (среди которых разрешение, версия и другие атрибуты, характеризующие пользовательское устройство);
- пользовательские клики, просмотры страниц, заполнения полей, показы и просмотры баннеров и видео;
- данные, характеризующие аудиторные сегменты;
- логи работы с интерфейсами информационных систем, маршруты передвижения;
- иные сведения о субъекте ПД в зависимости от оказываемых Оператором услуг и осуществляемых операций.
Примечание: Если Субъект ПД данной категории, проходит обучение с использованием сайта, то его категория становится – Посетитель интернет-сайта по адресу https://tsorbus.ru
6.2.3. Категория: Посетитель интернет-сайта по адресу https://tsorbus.ru
В состав обрабатываемых ПД могут входить:
- фамилия, имя, отчество;
- пол;
- число, месяц, год рождения, место рождения, страна рождения;
- данные документа, удостоверяющего личность (серия, номер, когда и кем выдан, код подразделения);
- место жительства;
- данные о карьере ( наименование, должность, специализация, обязанности, место работы, период работы)
- компетенции;
- гражданство; статус (резидент/нерезидент); семейное положение;
- социальное положение (в т.ч. сведения о социальных льготах);
- сведения о законных представителях (фамилия, имя, отчество; пол; число, месяц, год рождения, место рождения, страна рождения; данные документа, удостоверяющего личность (серия, номер, когда и кем выдан, код подразделения); гражданство; статус (резидент/нерезидент); семейное положение; место жительства, дата и адрес (проживания, регистрации, постановки на учет);
- образование;
- дата и адрес (проживания, регистрации, постановки на учет);
- сведения об ИНН, СНИЛС;
- реквизиты счетов субъектов ПД;
- контактные данные (телефон, электронный адрес, почтовый адрес);
- фото и видеоизображения;
- сведения о посетителях сайта;
- cookie – файлы;
- сведения об интересах.
- фотография;
- ссылки на сертификаты онлайн-курсов;
- ссылки на аккаунты в социальных сетях;
- идентификатор учетной записи, деловые и личные качества и любые иные данные, полученные с использованием мобильных и web-приложений, устанавливаемых или используемых на персональных устройствах, а также любыми иными способами в период проведения образовательных и иных мероприятий, в том числе цифровые аудио и видео-записи мероприятий, фотоматериалы, программные продукты, документы и любые другие цифровые ресурсы, созданные в процессе мероприятий;
- результаты обучения;
- данные геолокации;
- IP – адрес;
- источник захода на сайт и информация поискового или иного запроса;
- данные о пользовательском устройстве (среди которых разрешение, версия и другие атрибуты, характеризующие пользовательское устройство);
- пользовательские клики, просмотры страниц, заполнения полей, показы и просмотры баннеров и видео;
- данные, характеризующие аудиторные сегменты;
- логи работы с интерфейсами информационных систем, маршруты передвижения;
- результаты ответов на вопросы анкет и диагностических опросов, тестов, расположенных на сайте;
- иные сведения о субъекте ПД в зависимости от оказываемых Оператором услуг и осуществляемых операций.
6.2.4. Категория: иные лица, обработка ПД которых необходима для наступления и/или исполнения договорных и иных гражданско-правовых отношений с ООО “ЦОРБУС”
В состав обрабатываемых ПД могут входить:
- фамилия, имя, отчество;
- пол;
- число, месяц, год рождения, место рождения, страна рождения;
- данные документа, удостоверяющего личность (серия, номер, когда и кем выдан, код подразделения);
- место жительства;
- адрес регистрации;
- данные об образовании;
- гражданство; статус (резидент/нерезидент);
- сведения об ИНН, СНИЛС;
- реквизиты счетов субъектов ПД;
- контактные данные (телефон, электронный адрес, почтовый адрес);
- фото и видеоизображения;
- данные геолокации;
- IP – адрес;
- источник захода на сайт и информация поискового или иного запроса;
- данные о пользовательском устройстве (среди которых разрешение, версия и другие атрибуты, характеризующие пользовательское устройство);
- пользовательские клики, просмотры страниц, заполнения полей, показы и просмотры баннеров и видео;
- данные, характеризующие аудиторные сегменты;
- иные сведения о субъекте ПД в зависимости от оказываемых Оператору услуг и вида договорных отношений.
6.3. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.
6.4. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПД (или при отсутствии возможности оценки адекватности защиты), может осуществляться Оператором исключительно в случаях исполнения договора, стороной которого является субъект ПД, либо при наличии согласия в письменной форме субъекта ПД на трансграничную передачу его ПД.
7. Правовые основания обработки персональных данных
- Гражданско-правовые договоры, между Оператором и Субъектами персональных данных;
- Согласия на обработку персональных данных;
- Обработка для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей
8. Основные права и обязанности Оператора и Субъекта персональных данных:
8.1. Субъекты персональных данных или их законные представители имеют право:
- получать полную информацию о своих ПД и обработке этих данных (в том числе автоматизированной);
- осуществлять свободный бесплатный доступ к своим ПД, включая право получать копии любой записи, содержащей ПД субъекта, за исключением случаев, предусмотренных федеральным законом;
- требовать исключения или исправления неверных или неполных ПД, а также данных, обработка которых ведется с нарушением законодательства, уточнения своих ПД, их блокирования или уничтожения;
- при отказе Оператора или уполномоченного им лица исключить или исправить ПД субъекта – заявить в письменной форме о своем несогласии, представив соответствующее обоснование;
- отозвать свое согласие на обработку персональных данных;
- требовать от Оператора или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные ПД субъекта, обо всех произведенных в них изменениях или исключениях из них;
- обжаловать в суде любые неправомерные действия или бездействие Оператора, или уполномоченного им лица, осуществляемые при обработке и защите ПД субъекта.
8.2. Субъекты ПД или их законные представители, обязаны:
- предоставлять Оператору персональные данные, соответствующие действительности;
- своевременно уведомлять Оператора обо всех изменениях ПД .
8.3. Оператор имеет право:
- осуществлять обработку ПД при условии наличия законных оснований, соответствия процессов обработки заявленным целям обработки и требованиям законодательства Российской Федерации, положениям настоящей Политики и иных локальных актов Оператора;
- обрабатывать ПД Субъекта персональных данных в соответствии с заявленной целью;
- требовать от Субъекта персональных данных предоставления достоверных ПД;
- ограничить доступ Субъекта персональных данных к его ПД в случае, если Обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, доступ Субъекта персональных данных к его ПД нарушает законные права и интересы третьих лиц, а также в иных случаях, предусмотренных законодательством Российской Федерации;
- осуществлять обработку ПД, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации;
- поручить обработку ПД другому лицу с согласия Субъекта персональных данных.
8.4. Оператор обязан:
- за свой счет обеспечить защиту ПД от неправомерного их использования или утраты в порядке, установленном законодательством Российской Федерации;
- предоставлять субъекту ПД по его запросу информацию, касающуюся обработки его ПД, либо на законных основаниях предоставить отказ;
- обеспечить субъекту свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством;
- по требованию субъекта ПД уточнять обрабатываемые персональные данные, блокировать или удалять, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- уведомлять субъекта ПД об обработке ПД в том случае, если ПД были получены не от субъекта ПД ;
- в случае достижения цели обработки ПД незамедлительно прекратить обработку ПД и уничтожить соответствующие ПД в срок, не превышающий тридцати дней с даты достижения цели обработки ПД , если иное не предусмотрено федеральными закона, в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов ПД , также указанный орган;
- в случае отзыва субъектом ПД согласия на обработку своих ПД прекратить обработку ПД и уничтожить ПД в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и субъектом ПД;
- предоставлять ПД Субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим Положением и законодательством Российской Федерации.
9. Порядок и условия обработки персональных данных
9.1. Обработка ПД Оператором осуществляется следующими способами:
- неавтоматизированная обработка ПД;
- автоматизированная обработка ПД с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка ПД.
9.2. Перечень действий, совершаемых Оператором с ПД Субъектов персональных данных включает в себя: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.
9.3. Сроки обработки ПД: до достижения цели обработки ПД , если иные сроки не предусмотрены в согласиях на обработку персональных данных, гражданско-правовых договорах с Субъектами персональных данных или Договорах о неразглашении конфиденциальной информации или иных документах, оформляемых Субъектами персональных данных.
9.4. Сроки хранения ПД: не дольше, чем этого требуют цели обработки ПД и в сроки, обозначенные в отдельных согласиях.
9.5. Все ПД Оператор получает непосредственно от субъекта ПД, от его представителя либо от лица, поручившего Оператору обработку ПД, а также от иных третьих лиц, при условии обеспечения третьим лицом законности передачи ПД Оператору и/или если получение ПД Оператором предусмотрено законодательством.
9.7. В случае осуществления обработки на основании согласия, согласие на обработку ПД может быть отозвано субъектом ПД . В случаях, предусмотренных законодательством, обработка ПД может быть продолжена даже после отзыва субъектом согласия на обработку.
9.8. При принятии решений, затрагивающих интересы субъекта, Оператор никогда не основывается на ПД субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения.
9.9. ПД не используются в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.
9.10. Передача ПД Оператора третьим лицам в том числе, находящимся за пределами Российской Федерации (трансграничная передача), осуществляется только с письменного согласия Субъекта персональных данных, за исключением случаев, предусмотренных законодательством и только при условии принятия таким лицом письменного обязательства об обеспечении конфиденциальности персональных данных, обязательство использовать эти данные лишь в целях, для которых они сообщены и только разрешенными способами, а также обязательство принимать необходимые правовые (включая издание Политики в отношении обработки персональных данных), организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Требования об оформлении указанного письменного обязательства не распространяется на случаи передачи ПД государственным и муниципальным органам, в порядке и в случаях, предусмотренных действующим законодательством.
Конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, определяются в согласии Субъекта персональных данных на обработку ПД.
9.11. Оператор вправе передавать ПД органам дознания и следствия, налоговым органам, органам статистики, федеральным внебюджетным фондам, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
9.12. ПД при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков).
9.13. При фиксации ПД на материальных носителях не допускается фиксация на одном материальном носителе ПД, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПД, осуществляемой без использования средств автоматизации, для каждой категории ПД используется отдельный материальный носитель.
9.14. Лица, осуществляющие обработку ПД без использования средств автоматизации, должны быть проинформированы о факте обработки ими ПД, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых ПД , а также об особенностях и правилах осуществления такой обработки.
9.15. При использовании типовых форм документов, заполняемых субъектом ПД собственноручно, характер информации в которых предполагает или допускает включение в них ПД (далее – типовая форма), соблюдаются следующие условия:
- типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки ПД, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию имя, отчество и адрес субъекта ПД , источник получения ПД , сроки обработки ПД , перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки ПД ;
- типовая форма должна предусматривать поле, в котором субъект ПД может поставить отметку о своем согласии на обработку ПД, осуществляемую без использования средств автоматизации – при необходимости получения письменного согласия на обработку ПД ;
- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПД, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПД;
- типовая форма должна исключать объединение полей, предназначенных для внесения ПД, цели обработки которых заведомо несовместимы.
9.16. ПД подлежат уничтожению по достижении целей обработки, в случае утраты необходимости в их достижении, по истечении срока хранения, при выявлении факта неправомерной обработки либо по требованию лица, поручившего обработку ПД в срок, не превышающий тридцати дней с даты достижения цели обработки ПД, либо получения отзыва на их обработку. Уничтожение осуществляется в присутствии комиссии. По итогам составляется акт об уничтожении.
9.17. Хранение ПД осуществляется в форме, позволяющей определить Субъекта персональных данных, в течение сроков определяемых в соответствии с п. 9.3. настоящего Положения, если иной срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных.
При осуществлении хранения ПД Оператор использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона №152-ФЗ.
9.18. При хранении ПД, обрабатываемых без использования средств автоматизации, соблюдаются следующие условия:
- осуществляется раздельное хранение ПД (материальных носителей), обработка которых осуществляется в различных целях.
- хранение материальных носителей осуществляется в условиях, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ.
10. Сведения о реализуемых требованиях к защите персональных данных
10.1. Оператор при обработке ПД принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД .
10.2. Защита ПД обеспечивается Оператором в установленном действующим законодательством и локальными актами Оператора порядке, путем выполнения комплекса организационно–технических мероприятий, обеспечивающих их безопасность.
10.3. Все меры защиты при сборе, обработке, хранении и передаче ПД субъекта распространяются как на бумажные, так и на машинные носители информации. Меры по обеспечению безопасности ПД при их обработке, применяемые Оператором, планируются и реализуются в целях обеспечения соответствия требованиям Федерального закона №152-ФЗ.
10.4. В дополнение к требованиям Федерального закона №152-ФЗ осуществляется комплекс мероприятий, направленных на защиту информации, Оператор руководствуется требованиями и рекомендациями действующего законодательства Российской Федерации, а также лучшими российскими и международными практиками.
10.5. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения требований законодательства Российской Федерации. Оператор, в частности, принял следующие меры:
- в договорах, заключенных между Оператором и контрагентом, предусматривается обязательство сторон о соблюдении требований конфиденциальности ПД, установленных ст. 7 Федерального закона №152-ФЗ, а также информация о принятии сторонами мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных».
- назначен ответственный за организацию обработки ПД;
- назначены должностные лица, ответственные за выполнение подразделениями локальных нормативных документов по вопросам обработки ПД;
- разработаны и внедрены локальные акты по вопросам обработки ПД, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений установленных процедур по обработке ПД и устранение последствий таких нарушений;
- применяются правовые, организационные и технические меры по обеспечению безопасности ПД;
- осуществляется внутренний контроль соответствия обработки ПД Федеральному закону №152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, политике Оператора в отношении обработки ПД, локальным актам Оператора;
- работники Оператора, непосредственно осуществляющие обработку ПД, ознакомлены с положениями законодательства Российской Федерации о ПД, в том числе требованиями к защите ПД, документами, определяющими политику Оператора в отношении обработки ПД, локальными актами по вопросам обработки ПД.
11. Актуализация, исправление, удаление и уничтожение персональных данных
11.1. Оператор имеет право внести, дополнить, изменить, блокировать или удалить ПД в соответствии с Федеральным законодательством Российской Федерации.
11.2. По запросу субъекта персональных данных Оператор обязан:
- предоставить сведения о наличии у оператора ПД субъекта;
- предоставить возможность ознакомления с ПД субъекта (исключение ФЗ-152 статья 14 часть 5);
- уточнить недостоверные или изменившиеся ПД;
- блокировать или уничтожить ПД в случае, если они являются незаконно полученными, не являются необходимыми для заявленной цели обработки или отозвано согласие субъекта.
11.3. Запрос субъекта ПД или его представителя должен быть отправлен Оператору в бумажном виде и содержать номер документа, удостоверяющего личность субъекта ПД или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе, и собственноручную подпись субъекта ПД или его представителя.
11.4. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации на электронную почту: dir@tsorbus.ru
11.5. При поступлении запроса обращения субъектов ПД и их представителей, уполномоченных органов, ответственный работник Оператора регистрирует такой запрос в соответствующих журналах регистрации обращений.
11.6. Ответ, либо мотивированный отказ, будет отправлен Оператором в течение 30 дней с даты получения запроса от субъекта ПД или от его представителя. Ответ содержит конкретную и исчерпывающую информацию, касающуюся сути вопроса.