ПОЛИТИКА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
(ОБЩАЯ ПОЛИТИКА ПО ВОПРОСАМ КОНФИДЕНЦИАЛЬНОСТИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ)
(Создано в соответствии с Планом мероприятий по приведению документации ООО «Суперфуд Фарм» в соответствие с требованиями законодательства в области защиты персональных данных)
Россия, Московская область, город Дмитров
13 марта 2025 года
СОДЕРЖАНИЕ:
6. ПРАВОВЫЕ ОСНОВЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.. 16
7. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ.. 17
1. ОБЩИЕ ПОЛОЖЕНИЯ И ЦЕЛИ
1.1 Настоящая Политика обработки персональных данных (Общая политика по вопросам конфиденциальности и защиты персональных данных) разработана в соответствии со ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и определяет ключевые направления деятельности в области обработки и защиты персональных данных, оператором которых является Общество с ограниченной ответственностью «Суперфуд Фарм» – юридическое лицо, созданное и зарегистрированное в соответствии с законодательством Российской Федерации.
1.2 Политика разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных субъектов персональных данных.
1.3 Политика раскрывает правовые основания, цели обработки персональных данных, категории обрабатываемых персональных данных и источники их получения, основные принципы обработки, передачи и хранения персональных данных, меры по обеспечению безопасности персональных данных при их обработке, а также права субъектов персональных данных.
1.4 Настоящая Политика обработки персональных данных (Общая политика по вопросам конфиденциальности и защиты персональных данных) ООО «Суперфуд Фарм» (далее – «Политика» и «Компания» соответственно) имеет следующие цели:
1.4.1 обеспечить соблюдение законов, иных нормативных и подзаконных актов Российской Федерации, регулирующих вопросы обработки, хранения и защиты персональных данных,
1.4.2 обеспечить соблюдение и защиту прав Субъектов персональных данных,
1.4.3 обеспечить защиту Компании от потенциальных юридических, финансовых, репутационных рисков, а также рисков, связанных с попытками проникновения в технические системы.
1.5 Персональные данные могут быть собраны и обработаны только при соблюдении строгих условий и в законных целях. Лица, которые занимаются обработкой Персональных данных (сотрудники Компании), должны обеспечивать их защиту от неправомерного использования и соблюдать права Субъектов персональных данных.
1.6 При несоблюдении этих требований Компания и её руководство могут быть подвергнуты крупным штрафам, привлечены к различным видам ответственности (включая, в определенных случаях, к уголовной ответственности), к ним могут быть предъявлены требования о выплате компенсаций, а также это может повлечь за собой причинение ущерба репутации Компании.
1.7 Данная Политика является документом общего характера, фокусируется на основополагающих принципах в сфере конфиденциальности и защиты Персональных данных и определяет иерархию внутренних документов в сфере обработки и защиты Персональных данных, а также основные обязанности в области защиты Персональных данных для сотрудников Компании разного уровня.
1.8 В Компании могут приниматься и иные локальные акты, определяющие политику Компании по конкретным направлениям, целям, вопросам обработки Персональных данных, которые не должны противоречить настоящей Политике.
1.9 Для предоставления рекомендаций сотрудникам Компания может выпускать практические руководства по вопросам конфиденциальности и защиты персональных данных.
1.10 Дополнительные запросы (как исходящие от сотрудников Компании, так и от любых третьих лиц, включая, но не ограничиваясь, контрагентами Компании, сотрудниками контролирующих, правоохранительных и иных государственных органов, потребителями и т.д.), касающиеся законов, подзаконных актов и требований в сфере конфиденциальности и защиты Персональных данных должны быть адресованы либо сотруднику компании, ответственному за вопросы конфиденциальности и защиты Персональных данных, либо юристу компании или представителям отдела правового сопровождения Компании.
1.11 Настоящая Политика подлежит пересмотру и корректировке по мере необходимости для обеспечения её актуальности.
1.12 Политика является общедоступным документом и подлежит размещению на официальном сайте Компании.
2. ОБЛАСТЬ ПРИМЕНЕНИЯ
2.1 Настоящая Политика распространяет свое действие и применяется к любым отношениям и к любой деятельности Компании, включающей Обработку Персональных данных, с учетом требований законодательства России. Обработка Персональных данных осуществляется с целью: организации коммерческой, трудовой, социальной деятельности Компании; осуществления обратной связи с посетителями официального сайта Компании; обеспечения безопасности Персональных данных, обрабатываемых Компанией в рамках ведения своей текущей хозяйственной и финансовой деятельности а также с иными целями, не запрещёнными законодательством Российской Федерации.
2.2 В информационных системах Персональных данных Компании на момент принятия настоящей Политики обрабатываются следующие категории Персональных данных:
· Персональные данные сотрудников Компании, осуществляющих свои функции по трудовым договорам;
· Персональные данные контрагентов Компании – физических лиц, а также официальных представителей юридических лиц.
В информационных системах Компании в период действия настоящей Политики могут начать обрабатываться и иные категории Персональных данных, включая, но не ограничиваясь: Персональные данные посетителей официального сайта Компании, потребителей продукции Компании, их законных представителей и все иные Персональные данные, обработка, хранение, использование и защита которых регулируются действующим законодательством Российской Федерации.
3. ОПРЕДЕЛЕНИЯ
· Компания: ООО «Суперфуд Фарм», юридическое лицо, зарегистрированное в соответствии с законодательством Российской Федерации.
· Функция: функция, отдел, департамент и /или иное структурное подразделение Компании, вне зависимости от наименования, руководитель которого является прямым подчиненным генерального директора Компании.
· Законодательство Российской Федерации, законодательство России: комплекс нормативно-правовых и подзаконных актов Российской Федерации, регулирующих вопросы конфиденциальности и защиты Персональных данных, а также регламентирующих работу компетентных государственных органов в данной сфере и устанавливающих принципы и правила взаимодействия субъектов персональных данных, операторов персональных данных и государства.
· Обработка Персональных данных: любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с Персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Персональных данных.
· Оператор Персональных данных: лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку Персональных данных, а также определяющее цели Обработки Персональных данных, состав Персональных данных, подлежащих обработке, действия (операции), совершаемые с Персональными данными. Для целей настоящей Политики Компания рассматривается в качестве Оператора Персональных данных.
· Оператор-обработчик Персональных данных[1]: лицо (например, провайдер услуг, агентство, консультант и т.д.), являющееся Оператором персональных данных, осуществляющее обработку Персональных данных в соответствии с указаниями и по поручению другого Оператора персональных Данных.
· Персональные данные: любая информация, которая относится к физическому лицу и позволяет прямо или косвенно идентифицировать данное лицо.
· Политика: см. Раздел 1 выше.
· Руководство: см. Раздел 1 выше.
· Субъект Персональных данных: физическое лицо, к которому относятся Персональные Данные.
· Сотрудник по вопросам конфиденциальности и защиты Персональных Данных: ответственный за организацию обработки персональных данных в понимании Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»; см. Раздел 4.16., 5.1 ниже.
· Менеджеры данных: руководители Функций, см. п. 5.3. ниже.
· Делегаты данных: см. п. 5.4. ниже.
· Специальные категории Персональных данных: Персональные данные о расовой, национальной или этнической принадлежности лица; политических взглядах, религиозных или философских убеждениях; участии в профсоюзах; данные о состоянии здоровья; интимной жизни, сексуальной ориентации; наличии судимости и др.
· Биометрические данные: сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные).
· Трансграничная передача Персональных данных: передача Персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
4. ОСНОВНЫЕ ПРИНЦИПЫ
4.1. Любая деятельность, связанная с Обработкой Персональных данных, осуществляемая Компанией как непосредственно, так и через провайдера услуг, должна соответствовать принципам, изложенным в настоящем Разделе. Дополнительно применяются требования законодательства Российской Федерации.
4.2. Обработка Персональных данных может преследовать только законные цели, которые должны быть конкретными, явными и определенными на момент сбора.
4.3. Обработка Персональных данных должна быть открытой для Субъекта Персональных данных, который должен быть информирован о целях и основных характеристиках Обработки Персональных данных до сбора данных. Информирование обычно осуществляется посредством «политик конфиденциальности», условий «согласия на обработку персональных данных», «уведомлений о конфиденциальности».
4.4. Обработка Персональных данных по общему правилу осуществляется при условии получения согласия Субъекта Персональных данных. Согласие должно быть информированным (см. Раздел 4.3 выше), конкретным, явным и однозначным и соответствовать иным применимым требованиям законодательства Российской Федерации. Согласие может быть дано в любой позволяющей подтвердить факт его получения форме, если иное не требуется в соответствии с законодательством России. Для выполнения определенных операций по Обработке Персональных данных, например, для Трансграничной передачи Персональных данных в определенные юрисдикции, может требоваться отдельное согласие. Оператор должен принять необходимые меры для обеспечения наличия доказательств получения согласия Субъекта Персональных данных на Обработку его Персональных данных и осуществления Обработки Персональных данных на законных основаниях.
4.5. Помимо согласия, Компания также может использовать иные основания для обработки персональных данных, предусмотренные законодательством России, например, когда Обработка Персональных данных обусловлена требованиями закона или необходима для заключения и (или) исполнения договора, стороной которого (либо выгодоприобретателем, поручителем по которому) является Субъект Персональных данных.
4.6. Обработка Персональных данных должна быть пропорциональной, то есть не выходить за пределы целей Обработки, в том числе, с точки зрения содержания и объема собираемых данных (данные не должны быть избыточными), количества совершаемых операций и периода, в течение которого Персональные данные сохраняются Оператором. В особенности следует минимизировать сбор и обработку Специальных категорий Персональных данных, Биометрических данных. Необходимо всегда руководствоваться принципом минимизации сбора данных, поскольку обеспечение безопасности дополнительного объёма данных – дополнительное бремя для Компании.
4.7. При Обработке Персональных данных должны быть обеспечены точность Персональных данных, их достаточность и актуальность по отношению к целям Обработки Персональных данных. Оператор должен принимать (либо обеспечивать принятие) необходимых мер по удалению или уточнению неполных или неточных данных.
4.8. Безопасность Обработки Персональных данных должна быть гарантирована принятием надлежащих организационных, технических и иных мер защиты, направленных на предотвращение рисков несанкционированного доступа, незаконной обработки, утраты или изменения Персональных данных. Оператор Персональных данных должен быть в состоянии продемонстрировать, что им приняты все надлежащие меры, соответствующие современному уровню развития техники. Должны быть реализованы процедуры резервного копирования для обеспечения возможности восстановления Персональных данных. Обработка Специальных категорий Персональных данных, Биометрических данных может требовать принятия специальных мер по обеспечению безопасности (раздельное хранение, шифрование, и пр.). В случаях, определяемых законодательством Российской Федерации должна выполняться специальная оценка вреда, который может быть причинён Субъектам персональных данных в случае нарушения конфиденциальности данных, позволяющая определить необходимые меры для обеспечения безопасной обработки данных. Принимаемые меры безопасности необходимо подвергать регулярной оценке и корректировке для обеспечения того, чтобы они оставались эффективными и соответствовали современному уровню технического развития.
4.9. При сборе Персональных данных Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение Персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, допускаемых законодательством Российской Федерации.
4.10. Для начала Обработки Персональных данных Оператору в определенных случаях может требоваться уведомление, регистрация или получение разрешений со стороны уполномоченных национальных органов, например, в случае трансграничной передачи данных.
4.11. Оператор Персональных данных должен соблюдать права Субъектов Персональных данных, предусмотренные законами России и подзаконными актами, в том числе, но не ограничиваясь: право на своевременное информирование об Обработке Персональных данных, право давать согласие на Обработку Персональных данных, право отзывать согласие на Обработку Персональных данных, право иметь доступ к своим Персональным Данным, право на уточнение (обновление, изменение) или удаление своих Персональных данных.
4.12. Персональные данные Субъектов Персональных данных должны уничтожаться (1) по достижении целей обработки, когда дальнейшая Обработка не требуется в соответствии с требованиями законодательства Российской Федерации, (2) в случае отзыва согласия на обработку Персональных данных, если это не противоречит требованиям законодательства России и сути взаимоотношений Субъекта персональных данных с Оператором, (3) в иных случаях, определяемых требованиями законодательства России.
4.13. Оператор может осуществлять Трансграничную передачу Персональных данных, предварительно удостоверившись, что иностранным государством, на территорию которого предполагается передача Персональных данных, обеспечивается адекватная защита прав Субъектов Персональных данных[2]. Трансграничная передача Персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав Субъектов Персональных данных, может осуществляться только в случае если соблюдаются все условия и ограничения, предусмотренные законодательством Российской Федерации. Возможность Трансграничной передачи Персональных данных может быть в определенных случаях запрещена или ограничена уполномоченными органами, в том числе и в целях защиты публичных интересов.
4.14. В случае обнаружения утечки или иного нарушения в области обработки Персональных данных, которое повлекло за собой утрату или неправомерное использование Персональных данных, от Оператора Персональных данных требуется информирование компетентного органа об инциденте и принятых для его устранения и минимизации его последствий мерах, а также выполнение иных действий, определяемых в соответствии с законодательством Российской Федерации.
4.15. К обработке Персональных данных могут привлекаться третьи лица – Обработчики Персональных данных, действующие в соответствии с инструкциями и по поручению Оператора Персональных данных. Оператор Персональных данных остаётся полностью ответственным за действия по Обработке Персональных данных, выполняемые Обработчиком Персональных данных. Это требует от Компании проявления должной осмотрительности всегда, когда к Обработке Персональных данных планируется привлечь третье лицо. Выполнение следующих требований обязательно и позволяет снизить риски:
· необходимо исчерпывающе определить перечень операций по Обработке Персональных данных, независимо от того, являются ли они основной задачей или носят вспомогательный характер по отношению к другим задачам, выполняемым поставщиком услуг;
· убедиться, что Обработчик Персональных данных обладает необходимыми знаниями и опытом, а также имеет необходимые возможности для выполнения предполагаемых действий по Обработке Персональных данных;
· зафиксировать в договоре с Обработчиком Персональных данных (1) цели Обработки Персональных данных и перечень действий (операций) с Персональными данными, которые будут совершаться Обработчиком, (2) обязательство Обработчика Персональных данных обеспечить конфиденциальность Персональных данных и безопасность Персональных данных при их Обработке, (3) требования к защите обрабатываемых Персональных данных в соответствии с положениями законодательства России; (4) обязательство Обработчика Персональных данных соответствовать всем требованиям и соблюдать все применимые законы, подзаконные акты и стандарты в области конфиденциальности и защиты Персональных данных, а также требования настоящей Политики;
· регулярно (как минимум раз в три года) осуществлять мониторинг и проводить проверки деятельности Обработчика Персональных данных, фиксируя результаты таких проверок в письменной форме.
4.16. В Компании назначается лицо, ответственное за организацию Обработки Персональных данных – Сотрудник по вопросам конфиденциальности и защиты Персональных данных.
4.17. Разъяснения по вопросам конфиденциальности и защиты Персональных данных также могут быть запрошены у внешних консультантов Компании, у Отдела правового сопровождения, Отдела персонала и/ или Отдела информационных технологий.
4.18. Компания принимает и обрабатывает письменные обращения Субъектов Персональных данных по вопросам Обработки их Персональных данных. Письменные обращения принимаются по юридическому адресу Компании. Электронные обращения принимаются по следующему адресу: o.g.korogodina@gmail.com.
4.19. Порядок реагирования на события, которые могут затрагивать безопасность и/или конфиденциальность Персональных данных, определяется соответствующим внутренним регламентом Компании и применимыми требованиями законодательства Российской Федерации.
5. РОЛИ И ОТВЕТСТВЕННОСТЬ
5.1. Сотрудник по вопросам конфиденциальности и защиты Персональных данных осуществляет внутренний контроль за соблюдением требований настоящей Политики и законодательства Российской Федерации в рамках Компании, а также предоставляет разъяснения и рекомендации по вопросам конфиденциальности и защиты Персональных данных и применению требований законодательства России, при поддержке:
· IT-менеджера и/или Отдела информационных технологий Компании,
· Помощника руководителя Компании и/или Отдела персонала Компании,
· Юриста компании и/или Отдела правового сопровождения компании и/или внешних юридических консультантов Компании – в случае, если такая поддержка является обязанностью консультантов в соответствии с условиями заключённого с ними договора.
Обязанности Сотрудника по вопросам конфиденциальности и защиты Персональных данных определяются законодательством Российской Федерации и внутренними документами Компании. Для выполнения своих обязанностей Сотрудник по вопросам конфиденциальности и защиты Персональных данных наделяется соответствующими полномочиями.
5.2. Сотрудник по вопросам конфиденциальности и защиты Персональных данных и/или представители Отдела правового сопровождения обращаются в случае необходимости с запросами о разъяснении действующего законодательства в компетентный федеральный государственный орган, в задачи которого входит надзор в сфере связи, информационных технологий и СМИ, а также надзор по защите персональных данных – Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
5.3. Руководители Функций, если таковые назначаются или когда-либо будут назначены в Компании, являются Менеджерами данных (DM), и в части процессов, владельцами которых является соответствующая функция, ответственны за:
· обеспечение эффективного внедрения и соблюдения настоящей Политики на уровне своих подразделений;
· своевременное привлечение Сотрудника по вопросам конфиденциальности и защиты Персональных данных и других функций, в случаях, когда по вопросам конфиденциальности и защиты Персональных данных требуются соответствующие разъяснения или рекомендации;
· разработку и принятие внутренних локальных актов, формализующих процесс Обработки Персональных данных (определяющих категории субъектов, чьи Персональные данные обрабатываются, перечень и категории обрабатываемых Персональных данных, цели и правовые основания для Обработки, операции, способы, сроки Обработки, участников Обработки, принимаемые меры по обеспечению безопасности Персональных данных и т.д.), а также за их соблюдение;
· соблюдение установленного порядка привлечения и документального оформления отношений с Обработчиками и иными третьими лицами, привлеченными к обработке Персональных данных (Раздел 4.15);
· поддержание актуального реестра процессов Обработки Персональных данных, за которые Компания несет ответственность (включающего информацию об обрабатываемых Персональных данных, категориях Субъектов Персональных данных, целях, способах, выполняемых операциях, сроки Обработки, третьих лицах, участвующих в обработке, местах обработки, мерах по обеспечению безопасности Персональных данных и т.д.);
· своевременное выполнение оценки воздействия Обработки Персональных данных на безопасность Персональных данных (в соответствии с требованиями политик Компании и законодательства Российской Федерации);
· своевременное информирование Сотрудника по вопросам конфиденциальности и защиты Персональных данных о новых проектах, включающих Обработку Персональных данных, и об изменениях в существующих проектах;
· выполнение внутреннего контроля и (или) аудита соответствия Обработки Персональных данных требованиям законодательства России, настоящей Политике и иным локальным актам по вопросам конфиденциальности и защиты Персональных данных (аудит Обработки, мер по обеспечению безопасности Персональных данных, контрагентов, web-сайтов и т.д. - до начала Обработки, и последующий не реже одного раза в три года, в соответствии требованиями политики Компании и законодательства Российской Федерации);
· соответствие Обработки Персональных данных применимым требованиям, установленным законодательством Российской Федерации, настоящей Политикой, и иными локальными подзаконными актами;
· наличие и предоставление в необходимых случаях (в том числе, по требованию уполномоченных органов) документов и информации, подтверждающих соблюдение требований законодательства Российской Федерации, настоящей Политики и иных локальных актов.
5.4. Делегаты данных (DD). Для распределения ответственности внутри каждой функции, а также внутри отдела, в случае высокой интенсивности деятельности по обработке данных, в Компании могут быть назначены Делегаты данных. Обязанности Делегата данных (если таковые назначаются или когда-либо будут назначены в Компании):
· обновление информации в реестре процессов Обработки Персональных данных не реже одного раза в год и каждый раз, когда запускается новый тип обработки Персональных данных или изменяется существующий;
· повышение осведомленности соответствующей Функции/отдела по вопросам конфиденциальности и защиты Персональных данных. Это можно сделать следующими способами:
a) поднимать вопросы, связанные с защитой персональных данных в проектах функции (например, для нового веб-сайта: о необходимости составить новую политику конфиденциальности; добавить н сайт баннер cookie и т.д.);
b) координация деятельности Функции/отдела в целях соблюдения применимых политик, законов и нормативных актов Российской Федерации по вопросам конфиденциальности и защиты персональных данных;
c) каскадирование информации о защите данных внутри Функции/отдела;
d) обращение к Сотруднику по вопросам конфиденциальности и защиты Персональных данных (LPC) и Отделу персонала по вопросам обучения;
e) адаптация новых сотрудников функции по вопросам защиты данных (например, обеспечение информирования новых сотрудников об электронном обучении по защите данных, организация и проведение вводных встреч и т.д.);
f) постоянное обновление для себя информации по теме защиты данных.
- быть основным контактным лицом соответствующей Функции/отдела по вопросам конфиденциальности и защиты Персональных данных, в частности в случаях:
a) возникновения любого вопроса/проблемы, связанной с защитой данных, например в случае обращений субъектов;
b) необходимости предоставления информации и иной поддержки Сотруднику по вопросам конфиденциальности и защиты Персональных данных;
c) проверок и аудитов.
В отсутствие Делегата данных указанные обязанности выполняет Менеджер данных.
5.5. Сотрудники Компании обязаны:
· соблюдать требования настоящей Политики по вопросам конфиденциальности персональных данных;
· придерживаться требований нормативных правовых и подзаконных актов Российской Федерации по вопросам конфиденциальности и защиты Персональных данных;
· проходить рекомендованные обучения по вопросам конфиденциальности и защиты Персональных данных;
· заботиться об обеспечении конфиденциальности и безопасности Персональных данных;
· своевременно информировать и запрашивать рекомендации у Сотрудника по вопросам конфиденциальности и защиты Персональных данных, Отдела правового сопровождения или других Функций, в случаях, когда по вопросам конфиденциальности и защиты Персональных данных требуются соответствующие разъяснения. Рекомендации, касающиеся Обработки Персональных данных, должны запрашиваться до начала Обработки Персональных данных;
· своевременно информировать обо всех запросах, поступающих от Субъектов Персональных данных по вопросам Обработки Персональных данных, о событиях, которые могут затрагивать безопасность и/или конфиденциальность Персональных данных следующих лиц: Сотрудника по вопросам конфиденциальности и защиты Персональных данных, Юридический департамент и иных ответственных лиц, определяемых в соответствии с внутренними политиками и иными документами, принятыми и утверждёнными в Компании.
5.6. В зависимости от типа проводимой проверки по вопросам конфиденциальности и защиты Персональных данных Сотрудник по вопросам конфиденциальности и защиты Персональных данных обеспечивает своевременное информирование генерального директора Компании о результатах внутренних проверок и аудитов и принимаемых корректирующих мерах, при поддержке в необходимых случаях Отдела правового сопровождения и/или иных вовлеченных Функций.
6. ПРАВОВЫЕ ОСНОВЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Настоящая Политика определяется следующими основными нормативными правовыми актами РФ:
· Конституцией Российской Федерации;
· Трудовым кодексом Российской Федерации;
· Гражданским кодексом Российской Федерации;
· Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»);
· Федеральным законом от 27 июля 2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
· Федеральным законом от 08.02.1998 г. № 14-ФЗ (ред. от 08.08.2024 г.) «Об обществах с ограниченной ответственностью» (с изм. и доп., вступ. в силу с 01.03.2025 г.);
· Постановлением Правительства РФ от 01 ноября 2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
· Приказом ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
· Приказом ФСТЭК России от 31.05.2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
· Постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации»;
· прочими нормативными правовыми актами и подзаконными документами (см. раздел Ссылки на документы ниже).
6.2 Соблюдая законодательство РФ, для достижения целей обработки Персональных данных, а также в интересах и с согласия субъектов Персональных данных Компания в ходе своей деятельности предоставляет персональные данные следующим организациям:
· Федеральной налоговой службе;
· Пенсионному фонду России;
· негосударственным пенсионным фондам;
· Фонду социального страхования РФ;
· территориальному Фонду обязательного медицинского страхования;
· Федеральной миграционной службе;
· кредитным организациям (для реализации зарплатных проектов и выполнения договорных обязательств);
· лицензирующим и/или контролирующим органам государственной власти и местного самоуправления;
· иным организациям, определённым действующим законодательством Российской Федерации.
7. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1 Субъект персональных данных имеет право на получение своевременных, полных и достоверных сведений об обработке его персональных данных Компанией.
7.2 Субъект персональных данных вправе при необходимости требовать у Компании уточнения своих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, если они получены незаконно или не могут быть признаны необходимыми, достаточными и применимыми для заявленной Компанией цели их обработки, а также принимать все предусмотренные законом меры по защите своих прав.
7.3 Субъект персональных данных имеет право на защиту своих прав и законных интересов.
7.4 Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами Российской Федерации.
7.5 Компания рассматривает любые обращения и жалобы со стороны субъектов персональных данных, расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке. Все запросы и обращения субъектов персональных данных регистрируются в соответствующем Журнале учёта.
8. ССЫЛКИ НА ДОКУМЕНТЫ
Кодексы, законы:
1. Уголовный кодекс Российской Федерации (редакция от 28.12.2024 г.)
2. Кодекс Российской Федерации об административных правонарушениях (редакция от 03.02.2025 г.);
3. Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (с изменениями от 08.08.2024 г. № 233-ФЗ.);
4. Федеральный закон Российской Федерации от 27 июля 2006 г. № 15-ФЗ «Об информации, информационных технологиях и о защите информации›;
5. Федеральный закон Российской Федерации от 21 июля 2014 года № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».
Указы и распоряжения Президента Российской Федерации:
6. Указ Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера».
Постановления Правительства Российской Федерации:
7. Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
8. Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»
1. Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
9. Постановление Правительства РФ от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
Нормативные правовые акты федеральных органов исполнительной власти:
2. Приказ ФСБ РФ от 10.07.2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
3. Рекомендации ФСТЭК России: «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
4. Рекомендации ФСТЭК России: «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных при их обработке в информационных системах персональных данных»;
5. Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
6. Приказ Минкомсвязи РФ от 28.08.2015 г. № 315 «О внесении изменений в Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденный приказом Министерства связи и массовых коммуникаций Российской Федерации от 21.12.2011 г. № 346;
7. Приказ Министерства связи и массовых коммуникаций Российской Федерации от 14 ноября 2011 г. № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных».
[1] Законодательство Российской Федерации (Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных») использует один термин – «оператор», как для обозначения лица, организующего обработку персональных данных, так и для лица, непосредственно осуществляющего обработку персональных данных, в том числе, по чьему-то поручению.
Процедура использует два термина для обозначения двух основных субъектов, вовлеченных в обработку персональных данных - «оператор» и «обработчик» исключительно для отражения отличий их ролей и ответственности при организации обработки персональных данных.
[2] К государствам, обеспечивающим адекватную защиту прав субъектов персональных данных, в соответствии с законодательством Российской Федерации относятся: (1) государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, (2) государства, включенные в Перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных, утв. приказом уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор).