1. Общие положения

2. Нормативные ссылки

3. Термины, определения и сокращения

3.1. Термины и определения

3.2. Принятые сокращения

4. Правовые основания обработки персональных данных

5. Категории субъектов персональных данных

6. Перечень персональных данных, обрабатываемых в Обществе

7. Цели и основные принципы обработки персональных данных

8. Порядок и условия обработки персональных данных

9. Использование web-ресурсов Обществом

10. Перечень действий с персональными данными и способы их обработки

11. Сроки обработки персональных данных

12. Права и обязанности субъекта персональных данных

13. Права и обязанности Общества как оператора персональных данных

14. Меры Общества, направленные на обеспечение выполнения обязанностей по обработке и защите персональных данных

15. Обратная связь

16. Ответственность

17. Заключительные положения

Приложение 1

Приложение 2

Приложение 3

1.1. Настоящая Политика в отношении обработки персональных данных (далее — Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в Обществе с ограниченной ответственностью «Бланк Лабс» (далее — Общество) персональных данных, функции Общества при обработке персональных данных, права субъектов персональных данных и реализуемые в Обществе требования по защите персональных данных.

1.2. Общество, являясь оператором, осуществляющим обработку персональных данных, обеспечивает полное соблюдение прав и свобод граждан — субъектов персональных данных при обработке их персональных данных, в том числе обеспечивает защиту их прав на неприкосновенность частной жизни, личной и семейной тайн и принимает меры для обеспечения выполнения обязанностей, предусмотренных Федеральный законом от 27.07.2006 N 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

1.3. Политика разработана в соответствии с требованиями подпункта 2 пункта 1 статьи 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

1.4. Целью настоящей Политики является установление основных принципов и подходов к обработке и обеспечению безопасности персональных данных в Обществе.

1.5. Положения настоящей Политики детализируются во внутренних документах Общества.

1.6. Действие Политики распространяется на все процессы Общества, связанные с обработкой персональных данных.

1.7. Положения настоящей Политики являются обязательными для исполнения всеми работниками Общества, имеющими доступ к персональным данным.

1.8. Пересмотр и обновление настоящей Политики осуществляется в связи с изменениями законодательства РФ в области персональных данных, по результатам анализа актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, а также по результатам других контрольных мероприятий.

1.9. Настоящий документ является общедоступным и подлежит размещению на web-ресурсах Общества в информационно-телекоммуникационной сети Интернет.

2.1. Трудовой кодекс РФ.

2.2. Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных».

2.3. Указ Президента РФ от 06.03.1997 N 188 «Об утверждении Перечня сведений конфиденциального характера».

2.4. Постановление Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

2.5. Постановление Правительства РФ от 06.07.2008 N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».

2.6. Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

2.7. Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

2.8. Приказ ФСБ России от 10.07.2014 N 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите персональных данных для каждого из уровней защищенности».

2.9. Приказ Роскомнадзора от 05.09.2013 N 996 «Об утверждении требований и методов по обезличиванию персональных данных».

2.10. Приказ Росархива от 20.12.2019 N 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения».

2.11. Федеральный закон от 01.04.1996 N 27-ФЗ «Об индивидуальном (персонифицированном) учёте в системе обязательного пенсионного страхования».

2.12. Федеральный закон от 07.08.2001 N 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».

2.13. Федеральный закон от 10.12.2003 N 173-ФЗ «О валютном регулировании и валютном контроле».

2.14. Федеральный закон от 22.04.1996 N 39-ФЗ «О рынке ценных бумаг».

3.1. Термины и определения

Автоматизированная обработка персональных данных

Обработка персональных данных с помощью средств вычислительной техники

Общество

Общество с ограниченной ответственностью «Бланк Лабс», являющийся в рамках Федерального закона «О персональных данных» оператором по обработке персональных данных, а именно: организующий и (или) осуществляющий самостоятельно или совместно с другими лицами обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными

Блокирование персональных данных

Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)

Доменное имя

Обозначение символами, предназначенное для адресации сайтов в информационно-телекоммуникационной сети Интернет в целях обеспечения доступа к информации, размещенной в информационно-телекоммуникационной сети Интернет

Заявитель

Физические лицо, направившее обращение в Общество

Информация

Сведения (сообщения, данные) независимо от формы их представления

Информационная система персональных данных

Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств

Использование персональных данных

Действия (операции) с персональными данными, совершаемые должностным лицом Общества в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных, либо иным образом затрагивающих их права и свободы или права и свободы других лиц

Кандидат

Физическое лицо, претендующее на вакантную должность в Обществе, персональные данные которого приняты Обществом

Конфиденциальность персональных данных

Обязательное для соблюдения Обществом или иным получившим лицом, получившим доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных или наличия иных законных оснований, предусмотренных действующим законодательством РФ в области персональных данных

Обезличивание персональных данных

Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных

Обработка персональных данных / Обработка

Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

Оператор персональных данных (Оператор)

Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными

Ответственный за организацию обработки персональных данных

Должностное лицо, которое назначается Приказом Генерального директора, организующее принятие правовых, организационных и технических мер в целях обеспечения надлежащего выполнения функций по организации обработки персональных данных в Обществе в соответствии с положениями законодательства РФ в области персональных данных

Персональные данные

Любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных)

Пользовательские данные

Данные о пользователях web-ресурсов (сайтов) Общества, расположенных в информационно-телекоммуникационной сети Интернет, доступные и собираемые Обществом с помощью метрических программ Google Analytics, Яндекс Метрика, Roistat, иных программ

Посетители web-ресурсов (Пользователи)

Физические лица, получающие доступ к web-pecypcам Общества с использованием web-браузера и (или) мобильного приложения

Предоставление персональных данных

Действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц

Работник Обшества

Физическое лицо, заключившее с Обществом трудовой договор

Распространение персональных данных

Действия, направленные на раскрытие персональных данных неопределённому кругу лиц

Субъект персональных данных

Физическое лицо, которое прямо или косвенно определенно или определяемо на основании относящихся к нему персональных данных

Трансграничная передача персональных данных

Передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу

Уничтожение персональных данных

Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных

Файлы «cookies»

Набор данных, хранимых в настройках web-браузера субъекта персональных данных и обрабатываемых web-ресурсом Общества при использовании субъектом персональных данных такого web-ресурса

Web-браузер

Программное обеспечение, используемое субъектом персональных данных для просмотра информации, в том числе web-ресурсов

Web-ресурс

Информационная система Общества, использующая технологии представления и передачи данных для оказания информационных услуг в информационно-телекоммуникационной сети Интернет

3.2. Принятые сокращения

Федеральный закон «О персональных данных»

Федеральный закон РФ от 27.07.2006 N 152-ФЗ «О персональных данных»

РФ

Российская Федерация

4.1. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных:

4.1.1. Федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Общества:

• Налоговый кодекс РФ;
• Гражданский Кодекс РФ;
• ст. 86–90 Трудового кодекса РФ;
• Федеральный закон от 07.08.2001 N 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма»;
• Федеральный закон от 22.04.1996 N 39-ФЗ «О рынке ценных бумаг»;
• Федеральный закон от 08.02.1998 N 14-ФЗ «Об обществах с ограниченной ответственностью»;
• Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 01.04.1996 N 27-ФЗ 01.04.1996 N 27-ФЗ «Об индивидуальном (персонифицированном) учёте в системе обязательного пенсионного страхования»;
• Постановление Правительства РФ от 15.09.2008 N 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18.02.2013 N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Приказ Федеральной службы безопасности (ФСБ России) от 10.07.2014 N 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите персональных данных для каждого из уровней защищенности»;
• иные нормативные правовые акты РФ и нормативные документы исполнительных органов государственной власти.

4.1.2. Устав Общества.

4.1.3. Договоры, заключаемые между Обществом и субъектом персональных данных, между Обществом и иным лицом, поручившим Обществу обработку персональных данных.

4.1.4. Согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством РФ, но соответствующих полномочиям Общества).

5.1. Обществом осуществляется обработка полученных в установленном законом порядке персональных данных, принадлежащих следующим субъектам персональных данных:

• кандидатам на трудоустройство;
• практикантам;
• работникам Общества, в том числе бывшим;
• родственникам работников Общества и практикантов;
• клиентам — физическим лицам, уполномоченным представлять клиентов — физических лиц (выгодоприобретатель и иные лица, пользующиеся услугами Общества);
• контрагентам клиентов — физическим лицам;
• руководителям, главным бухгалтерам юридических лиц, уполномоченных представителей юридических лиц, являющихся клиентами Общества, сторонами в договорах об оказании Обществом услуг;
• потенциальным клиентам — физическим лицам;
• посетителям web-ресурсов Общества;
• заявителям;
• уполномоченным представителям потенциальных клиентов — юридических лиц;
• физическим лицам, осуществляющим выполнение работ по оказанию услуг и заключившим с Обществом договора гражданско-правового характера;
• физическим лицам, входящим в органы управления Общества, и их родственникам;
• физическим лицам, приобретшим или намеревающимся приобрести услуги Общества, услуги третьих лиц при посредничестве Общества или не имеющим с Обществом договорных отношений при условии, что их персональные данные включены в автоматизированные системы Общества и обрабатываются в соответствии с Законодательством о персональных данных;
• работникам партнёров Общества, субподрядчиков, поставщиков и других юридических лиц, обработка персональных данных для которых осуществляется по поручению указанных юридических лиц в соответствии с законодательством РФ;
• физическим лицам, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает их прав и соответствует требованиям, установленным Законодательством о персональных данных;
• физическим лицам, не состоящим в трудовых или гражданско-правовых отношениях, или иных договорных отношениях с Обществом, проходящим на территорию (в помещения), на которой находится Общество;
• представителям, выгодоприобретателям, бенефициарным владельцам действующих и потенциальных клиентов Общества;
• физическим лицам — участникам Общества, бенефициарным владельцам Общества, физическим лицам (представителями юридичских лиц), устанавливающих контроль в отношении Общества;
• аффилированным лицам Общества;
• иным физическим лицам, выразившим согласие на обработку Обществом их персональных данных или физическим лицам, обработка персональных данных которых необходима Обществу для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на Общество функций, полномочий и обязанностей.

6.1. Перечень персональных данных, обрабатываемых в Обществе, определяется в соответствии с законодательством РФ и локальными актами Общества с учетом целей обработки персональных данных, указанных в разделе 7 Политики.

7.1. Общество, являясь оператором персональных данных, осуществляет обработку персональных данных в целях:

• осуществления сделок в соответствии с Уставом Общества;
• заключения с субъектом персональных данных любых договоров и их дальнейшего исполнения;
• предоставления субъекту персональных данных информации об оказываемых Обществом услугах, о разработке Обществом новых продуктов и услуг;
• проведения Обществом акций, опросов, исследований;
• привлечения и отбора кандидатов на трудоустройство в Общество;
• содействия кандидатам в трудоустройстве, работникам в получении образования и продвижения по службе;
• обеспечения личной безопасности работников Общества, кандидатов на трудоустройство, практикантов;
• контроля количества и качества выполняемой работы работниками Общества и обеспечения сохранности имущества;
• регулирования трудовых отношений с работниками Общества, включая заключение, сопровождение, изменение, расторжение трудовых договоров, исполнение соответствующих требований законодательства РФ в области кадрового делопроизводства, бухгалтерского, налогового и иного учёта, оформление медицинского страхования и банковских (зарплатных) карт, обучение работников, оформление отпусков и направления в командировки, социальные выплаты, учёт налоговых льгот и вычетов для работников;
• реализации условий раскрытия обязательной и дополнительной информации Общества, внутренние и внешние коммуникации, в том числе взаимодействие со средствами массовой информации, используемые для формирования достоверного представления о деятельности Общества, обработку персональных данных аффилированных лиц в целях исполнения законодательства РФ;
• формирования справочных материалов для внутреннего информационного обеспечения деятельности Общества;
• обеспечения внутриобъектового и пропускного режимов Общества;
• обеспечения соблюдения законов и иных нормативных актов.

7.2. Обработка персональных данных Обществом осуществляется на основе принципов, предусмотренных Федеральным законом «О персональных данных»:

• законности целей и способов обработки персональных данных;
• добросовестности Общества, как оператора персональных данных, что достигается путём выполнения требований законодательства РФ в отношении обработки персональных данных;
• недопущения обработки персональных данных субъектов персональных данных, которые не отвечают целям обработки;
• соответствия содержания, состава и объема обрабатываемых персональных данных заявленным целям обработки;
• точности и достаточности, а в необходимых случаях и актуальности персональных данных по отношению к заявленным целям их обработки;
• уничтожения персональных данных по достижении целей обработки способом, исключающим возможность их восстановления (если иное не предусмотрено законодательством РФ);
• недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• предотвращения несанкционированного доступа к персональным данным субъектов и (или) передачи их лицам, не имеющим права на доступ к персональным данным;
• своевременного обнаружения фактов несанкционированного доступа к персональным данным;
• предупреждения возможности неблагоприятных последствий нарушения порядка доступа к персональным данным;
• недопущения воздействия на технические средства обработки персональных данных, в результате которого нарушается их функционирование;
• нахождения на территории РФ баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ;
• хранения персональных данных субъектов персональных данных не дольше, чем этого требуют цели обработки персональных данных, а также федеральные законы и договоры, стороной которых, выгодоприобретателем или поручителем по которым является субъект персональных данных;
• постоянного контроля за обеспечением уровня защищенности персональных данных.

7.3. Общество не осуществляет обработку биометрических персональных данных и специальных категорий персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни, судимости физических лиц, если иное не установлено законодательством РФ.

7.4. Работники Общества, допущенные к обработке персональных данных, обязаны:

• знать и неукоснительно выполнять положения законодательства РФ в области персональных данных, настоящей Политики, локальных актов Общества по вопросам обработки и обеспечения безопасности персональных данных;
• обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;
• не разглашать персональные данные, доступ к которым они получили или о которых им стало известно в ходе исполнения своих должностных обязанностей;
• сообщать о действиях лиц, которые могут привести к нарушению положений настоящей Политики;
• сообщать об известных фактах нарушения требований настоящей Политики ответственному за организацию обработки персональных данных в Обществе.

7.5. Безопасность персональных данных при их обработке в Обществе обеспечивается выполнением согласованных мероприятий, входящих в состав системы защиты персональных данных Общества, направленных на предотвращение (нейтрализацию) актуальных угроз безопасности персональных данных, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы информационных систем персональных данных в случае реализации угроз.

7.6. Система защиты персональных данных включает в себя организационные и технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах Общества.

8.1. Обработка персональных данных в Обществе осуществляется с согласия субъекта персональных данных кроме случаев, установленных законодательством РФ с соблюдением требований конфиденциальности персональных данных, установленных статьей 7 Федерального закона «О персональных данных», а также принятием мер, направленных на обеспечение выполнения обязанностей по обработке и защите персональных данных, установленных законодательством РФ.

8.2. Обработка персональных данных может осуществляться с помощью средств вычислительной техники (автоматизированная обработка), либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).

8.3. Обработка персональных данных осуществляется путём:

• получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;
• предоставления субъектами персональных данных оригиналов необходимых документов;
• получения заверенных в установленном порядке копий документов, содержащих персональные данные или копирования оригиналов документов;
• получения персональных данных при направлении запросов в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством РФ;
• получения персональных данных из общедоступных источников;
• фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;
• внесения персональных данных в информационные системы Общества;
• использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой Обществом деятельности.

8.4. В Обществе запрещается принятие решений на основании исключительно автоматизированной обработки персональных данных, которые порождают юридические последствия в отношении субъекта персональных данных, или иным образом затрагивают его права и законные интересы, кроме случаев и условий, предусмотренных законодательством РФ в области персональных данных.

8.5. Общество вправе поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия субъектов персональных данных на основании заключаемого договора.

8.6. В случае, когда Общество на основании договора передает или поручает обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю, существенным условием договора должна быть обязанность обеспечения указанным лицом условий конфиденциальности и обеспечения безопасности персональных данных при их передаче или обработке. Такой договор в обязательном порядке должен содержать:

• перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных;
• цели обработки персональных данных;
• обязанности третьего лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке, а также требования к защите обрабатываемых персональных данных.

8.7. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

8.8. В случае, когда Общество поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Общество. Лицо, осуществляющее обработку персональных данных по поручению Общества, несёт ответственность перед Обществом.

8.9. Персональные данные не раскрываются Обществом третьим лицам и не распространяются иным образом без согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ. При раскрытии (предоставлении) персональных данных третьим лицам соблюдаются требования к защите

обрабатываемых персональных данных.

8.10. В целях внутреннего информационного обеспечения Общество может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ, могут включаться его фамилия, имя, отчество, фотография, место работы, должность, год и

место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.

8.11. Представители органов государственной власти (в том числе, контролирующих, надзорных, правоохранительных, дознания и следствия и иных уполномоченных органов по основаниям, предусмотренным действующим законодательством РФ) получают доступ к персональным данным, обрабатываемым в Обществе, в объёме и

порядке, установленном законодательством РФ.

8.12. В ходе своей деятельности Общество может осуществлять трансграничную передачу персональных данных на территорию иностранных государств, являющихся сторонами Конвенции о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих

адекватную защиту прав субъектов персональных данных, в соответствии с требованиями Федерального закона «О персональных данных». Трансграничная передача персональных данных на территорию иностранного

государства, не являющегося стороной указанной Конвенции, осуществляется в соответствии с законодательными актами РФ при условии соответствия действующих в этом государстве норм права и применяемых мер безопасности персональных данных положениям Конвенции.

8.13. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия субъекта персональных данных на обработку его персональных данных или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

8.14. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных и нормативными актами Общества в области документооборота.

8.15. В случае выявления факта неправомерности обработки персональных данных при обращении субъекта персональных данных или его представителя, либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных Общество осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) с момента обращения или получения запроса на период проверки.

8.16. В случае выявления факта неточности персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Общество осуществляет блокировку персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) с момента такого обращения или получения запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

8.17. В случае подтверждения факта неточности персональных данных Общество на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в течение семи рабочих дней со дня представления таких сведений и снятие блокировки персональных данных.

8.18. В случае выявления неправомерной обработки персональных данных Обществом или лицом, действующим по поручению Общества, Общество в срок, не превышающий трёх рабочих дней с даты выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Общества. В случае, если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий десяти рабочих дней с даты выявления, обязано уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Общество уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

8.19. При достижении целей обработки персональных данных или в случае отзыва субъектом персональных данных согласия на обработку его персональных данных Общество прекращает обработку персональных данных или обеспечивает её прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и уничтожает персональные данные или обеспечивает уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных или с даты поступления указанного отзыва согласия на обработку персональных данных, если:

• Общество не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; иное не предусмотрено иным соглашением между Обществом и субъектом персональных данных.

8.20. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 8.18 — 8.19 настоящего раздела, Общество осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Общества) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

8.21. Реагирование на запросы / обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных осуществляется в соответствии с разделом 15 настоящей Политики.

9.1. Настоящая Политика является публичной офертой и определяет условия использования web-ресурсов Общества (существующих и создаваемых в будущем), любыми пользователями информационно-телекоммуникационной сети Интернет, просматривающих web-ресурс.

9.1. Принимая настоящую Политику, посетитель web-ресурса Общества выражает полное и безоговорочное согласие со всеми его условиями, в том числе, в части предоставления согласия на обработку персональных данных посетителя на условиях, предусмотренных настоящей Политикой, в том числе с тем, что Общество может обрабатывать пользовательские данные с помощью метрических программ Google Analytics, Яндекс Метрика, Roistat, иных программ в объеме и целях, указанных выше.

9.2. Общество использует файлы «cookies», в том числе обрабатывает сведения о посетителях web-ресурсов необходимые для правильной работы web-ресурсов Общества, а также в целях улучшения работы, персонализации сервисов и удобства посетителей web-ресурсов.

9.3. Часть функционала web-ресурсов может быть использована без предоставления персональных данных, однако для использования специальных возможностей web-ресурсов Общества необходимо предоставить пользовательские данные, включая персональные данные. При удалении или ограничении использования файлов «cookies» некоторые функции web-ресурсов могут оказаться недоступны.

9.4. При предоставлении персональных данных на web-ресурсах пользователь подтверждает своё ознакомление и согласие с настоящей Политикой в полном объёме и согласие на использование файлов «cookies».

9.5. В случае, если отдельные web-ресурсы Общества предусматривают ввод персональных данных, такие персональные данные хранятся и обрабатываются в соответствии с принципами и правилами обработки персональных данных, предусмотренными Федеральным законом «О персональных данных».

9.6. В отношении персональных данных сохраняется их конфиденциальность, кроме случаев добровольного предоставления пользователем информации о себе для общего доступа неограниченному кругу лиц.

9.7. Выбор состава пользовательских данных для обработки зависит от используемого web-браузера и устройства. Чтобы узнать, как управлять файлами «cookies» с помощью используемых web-браузера или устройства посетителю web-ресурсов следует воспользоваться инструкцией, предоставляемой разработчиком web-браузера или производителем используемого устройства.

9.8. Пользовательские данные Обществом могут использоваться для:

• предоставления информации об Обществе, его продуктах и услугах;
• усовершенствования продуктов и (или) услуг Общества и для разработки новых продуктов и (или) услуг Общества;
• ведения статистики о пользователях;
• хранения персональных предпочтений и настроек пользователей;
• отслеживания состояния сессии доступа пользователей;
• обеспечения функционирования и улучшения качества web-ресурсов Общества;
• обеспечение безопасности, снижения рисков возможного мошенничества при работе с web-ресурсами Общества;
• использования Интернет-форм на сайте Общества;
• предоставления дистанционного обслуживания;
• формирования списка интересов;
• демонстрации пользователю интернет-контента.

9.9. Субъект персональных данных не использует web-ресурсы Общества и не представляет Обществу свои персональные данные, если он не согласен с положениями данного раздела настоящей Политики.

9.10. Пользовательские данные уничтожаются, либо обезличиваются по достижении указанных выше целей обработки или в случае утраты необходимости в достижении этих целей.

10.1. Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

10.2. В качестве способов обработки персональных данных в Обществе применяются:

• неавтоматизированная обработка персональных данных;
• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка персональных данных.

11.1. Сроки обработки обрабатываемых Обществом персональных данных субъектов персональных данных определяются во внутренних документах Общества с учётом:

• установленных целей обработки персональных данных;
• сроков действия договоров, стороной в которых либо выгодоприобретателем или поручителем по которым выступает субъект персональных данных и договоров, заключённых по инициативе субъекта персональных данных;
• Приказ Росархива от 20.12.2019 N 237 «Об утверждении Инструкции по применению Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»;
• сроков исковой давности;
• иных нормативных документов РФ, внутренних нормативных документов.

12.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе:

• подтверждение факта обработки персональных данных Обществом;
• правовые основания и цели обработки персональных данных;
• цели и применяемые Обществом способы обработки персональных данных;
• наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
• информацию об осуществлённой или о предполагаемой Трансграничной передаче персональных данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;

12.2. Иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами. Право субъекта персональных данных на получение информации, касающейся обработки его Персональных данных, может быть ограничено в случаях, установленных Федеральным законом «О персональных данных».

12.3. В случае, если сведения, указанные в пункте 12.1 настоящего раздела, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Общество или направить повторный запрос в целях получения сведений, указанных в пункте 12.1 настоящего раздела, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

12.4. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 12.1 настоящего раздела, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 12.3 настоящего раздела, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 12.3 настоящего раздела, должен содержать обоснование направления повторного запроса.

12.5. Субъект персональных данных имеет право принимать предусмотренные законом меры по защите своих прав, требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении субъектом персональных данных согласия на обработку персональных данных.

12.6. Субъект персональных данных имеет право отозвать данное согласие на обработку своих персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе «О персональных данных».

12.7. Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

12.8. Субъект персональных данных имеет также иные права, установленные Федеральным законом «О персональных данных».

12.9. Субъект персональных данных несёт ответственность за предоставление Обществу достоверных сведений, а также за своевременное обновление предоставленных данных в случае каких-либо изменений.

13.1. Общество, как оператор персональных данных, вправе:

13.1.1. Обрабатывать персональные данные субъекта персональных данных в соответствии с заявленной целью.

13.1.2. Требовать от субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, оказания услуги, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных Законодательством о персональных данных.

13.1.3. Ограничить доступ субъекта персональных данных к его персональным данным в случаях:

• если обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путём, финансированию терроризма и финансированию распространения оружия массового уничтожения;
• доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
• в иных случаях, предусмотренных законодательством РФ.

13.1.4. Обрабатывать общедоступные персональные данные физических лиц.

13.1.5. Осуществлять обработку персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством РФ.

13.1.6. Использовать персональные данные субъектов персональных данных без их согласия в случаях, предусмотренных законодательством РФ.

13.1.7. Поручить обработку персональных данных другому лицу с согласия субъекта персональных данных.

13.1.8. Предоставлять персональные данные субъектов персональных данных третьим лицам в случаях, предусмотренных законодательством РФ (правоохранительные, налоговые органы и др.).

13.1.9. Отстаивать свои интересы в суде.

13.2. В случаях, установленных законодательством РФ в области персональных данных, Общество обязано предоставить субъекту персональных данных или его представителю при обращении либо при получении запроса от субъекта персональных данных или его представителя информацию, предусмотренную пунктом 12.1 раздела 12 настоящей Политики.

13.3. Если предоставление персональных данных является обязательным в соответствии с Федеральным законом «О персональных данных», Общество обязано разъяснить субъекту персональных данных юридические последствия его отказа предоставить персональные данные субъекта.

13.4. В случае получения персональных данных не от субъекта персональных данных, Общество до начала обработки таких персональных данных предоставляет субъекту персональных данных следующую информацию:

• наименование либо фамилию, имя, отчество и адрес оператора или его представителя;
• цель обработки персональных данных и её правовое основание;
• предполагаемые пользователи персональных данных;
• установленные Федеральным законом «О персональных данных» права субъекта персональных данных;
• источник получения персональных данных.

13.5. Общество освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные пунктом 13.4 настоящего раздела Политики, в случаях, если:

• субъект персональных данных уведомлен Обществом об осуществлении обработки его персональных данных;
• персональные данные получены Обществом на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
• персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
• предоставление субъекту персональных данных сведений, предусмотренных пунктом 13.4 настоящего раздела Политики, нарушает права и законные интересы третьих лиц.

13.6. Общество при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, предусмотренных Федеральным законом «О персональных данных».

13.7. Общество несёт иные обязанности, установленные Федеральным законом «О персональных данных.

14.1. Общество самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Федеральным законом «О персональных данных» или другими нормативными актами.

14.2. В Обществе принимаются следующие меры по обеспечению выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» в области обработки персональных данных:

• назначается ответственный за организацию обработки персональных данных;
• издаются документы: Политика в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
• применяются правовые, организационные и технические меры по обеспечению обработки персональных данных в соответствии с требованиями Федерального закона «О персональных данных», Постановления Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• обеспечивается конфиденциальность персональных данных субъекта персональных данных со стороны Общества, со стороны аффилированных лиц, со стороны работников Общества, имеющих доступ к персональным данным субъектов, а также обеспечивается использование персональных данных вышеуказанными лицами исключительно в целях, соответствующих закону, договору или иному соглашению, заключённому с субъектом персональных данных;
• осуществляется внутренний контроль и (или) аудит соответствия обработки персональных данных в Обществе требованиями Федерального закона «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике, локальным актам в области обработки и обеспечения безопасности персональных данных;
• проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства РФ о персональных данных, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
• осуществляется ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, настоящей Политикой, иными локальными актами Общества по вопросам обработки персональных данных;
• проводится обучение работников Общества, непосредственно осуществляющих обработку персональных данных, по вопросам обработки и защиты персональных данных.

14.3. С целью обеспечения безопасности персональных данных при их обработке Общество принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в частности:

• определяются актуальные угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
• определяются уровни защищенности персональных данных при их обработке в информационных системах персональных данных;
• применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, направленные на нейтрализацию актуальных угроз безопасности персональных данных в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказа ФСТЭК России от 18.02.2013 N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», Приказа ФСБ России от 10.07.2014 N 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите персональных данных для каждого из уровней защищенности»;
• осуществляется оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• осуществляется учет машинных носителей персональных данных;
• проводятся мероприятия по обнаружению фактов несанкционированного доступа к персональным данными принятию соответствующих мер;
• обеспечивается возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• устанавливаются правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет действий, совершаемых с персональными данными в информационной системе персональных данных.

14.4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

15.1. Подтверждение факта обработки персональных данных Обществом, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Федерального закона № 152-ФЗ, предоставляются Обществом субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.

15.2. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

15.3. При реализации прав, указанных в пунктах 12.1., 12.5., 12.6. настоящей Политики, субъекту персональных данных рекомендуется использовать формы запросов (обращений) субъектов персональных данных в Общество, установленных в Приложениях № 1–3 к настоящей Политике.

15.4. Запрос (обращение) должен содержать:

• номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом;
• подпись субъекта персональных данных или его представителя.

15.5. Запрос (обращение) может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

15.6. Все поступившие запросы (обращения) субъектов персональных данных регистрируются в Журнале регистрации запросов и обращений субъектов персональных данных.

15.7. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Федерального закона № 152-ФЗ все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

15.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Федерального закона № 152-ФЗ, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

15.9. Контакты Общества для направления обращений (запросов) субъектов персональных данных указаны на сайте Общества в разделе Контактная информация.

16.1. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных в Обществе.

16.2. Общество, а также его должностные лица и работники несут гражданско-правовую, административную и иную предусмотренную законодательством РФ ответственность за несоблюдение принципов и условий обработки персональных данных субъектов, а также за разглашение или незаконное использование персональных данных.

17.1. Политика вступает в силу с даты её утверждения Генеральным директором Общества и действует до её отмены Генеральным директором Общества или утверждения Политики в новой редакции.

17.2. Политика является общедоступной и подлежит размещению (опубликованию) на web-ресурсах Общества в информационно-телекоммуникационной сети Интернет.

17.3. Изменения и дополнения в Политику вносятся решением Генерального директора Общества. Изменения, вносимые в настоящую Политику, вступают в силу со дня их утверждения, если иное не установлено самими изменениями.

17.4. Общество рекомендует субъектам персональных данных регулярно обращаться к настоящей Политике с целью ознакомления с наиболее актуальной редакцией.