УТВЕРЖДЕНО
Руководитель оператора - ООО «ВОДАКО»
Положение об обработке персональных данных (политика обработки персональных данных)
г. Москва 01 сентября 2022 г.
1. Общие положения
1.1. Положение об обработке персональных данных (далее — Положение) издано и применяется ООО «ВОДАКО» (далее — Оператор) в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
1.1.1. Основанием для разработки настоящего Положения являются Конституция Российской Федерации, Трудовой кодекс Российской Федерации, Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», другие действующие нормативные правовые акты Российской Федерации.
1.1.2. Настоящее Положение определяет политику, порядок и условия Оператора в отношении обработки персональных данных работников Оператора и третьих лиц, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.
1.1.3. Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
1.1.4. Цель настоящего Положения — защита персональных данных работников Оператора и третьих лиц от несанкционированного доступа и разглашения. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.
1.2. Целью обработки персональных данных является:
Цель 1. Продвижение товаров, работ, услуг Оператора на рынке путем осуществления прямых контактов с потенциальным потребителем/представителем покупателя с помощью средств связи,
Цель 2. Осуществление кадрового, бухгалтерского и налогового учета,
Цель 3. Расчет и выплата заработной платы;
Цель 4. Учет рабочего времени работников;
Цель 5. Ведение воинского учета;
Цель 6. Представление отчетности и запрашиваемой информации в государственные органы;
Цель 7. Заключение и исполнение договоров с физическими лицами или договоров, для заключения и/или исполнения которых привлекаются физические лица;
Цель 8. Поиск работников на вакантные должности;
1.3. Действие настоящего Положения не распространяется на отношения, возникающие при:
1) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных фондов в соответствии с законодательством об архивном деле в Российской Федерации;
2) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
1.4. Обработка организована Оператором на принципах:
— законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;
— ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
— достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
— обработки только персональных данных, которые отвечают целям их обработки. Недопустима обработка персональных данных, несовместимая с целями сбора персональных данных;
— соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
— недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
— обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
— хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
1.5. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и настоящим Положением.
1.6. Способы обработки персональных данных:
— с использованием средств автоматизации;
— без использования средств автоматизации.
1.7. Перечень и категории обрабатываемых персональных данных.
В информационных системах Оператора осуществляется обработка следующих категорий персональных данных:
Категория | Персональные данные |
1 | Фамилия, имя, отчество; |
2 | месяц рождения, год рождения, дата рождения; |
3 | место рождения; |
4 | адрес; |
5 | семейное положение; |
6 | имущественное положение; |
7 | образование; |
8 | профессия; |
9 | доходы; |
10 | ИНН (включая копию документа); |
11 | паспортные данные (включая копию документа); |
12 | данные СНИЛС (включая копию документа); |
13 | гражданство; |
14 | телефонные номера; |
15 | е-mail; |
16 | реквизиты расчетного счета; |
17 | копия документа воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу); |
18 | копия документа об образовании, квалификации или наличии специальных знаний (при поступлении на работу, требующую специальных знаний или специальной подготовки); |
19 | анкетные данные, заполненные работником при поступлении на работу или в процессе работы (в том числе — автобиография, сведения о семейном положении работника, перемене фамилии, наличии детей и иждивенцев); |
20 | документы о возрасте малолетних детей и месте их обучения; |
21 | трудовой договор; |
22 | заключение по данным психологического исследования (если такое имеется); |
23 | копии приказов о приёме, переводах, увольнении, повышении заработной платы, премировании, поощрениях и взысканиях; |
24 | личная карточка по форме Т-2; |
25 | заявления, объяснительные и служебные записки работника; |
26 | документы о прохождении работником аттестации, повышения квалификации; |
27 | личные дела, трудовые книжки, сведения о трудовой деятельности работников (СТД-Р); |
28 | копии отчетов, направляемых в государственные контролирующие органы. |
1.8. Категории субъектов, персональные данные которых обрабатываются.
Категория 1 — работники Оператора;
Категория 2 — участники Оператора;
Категория 3 — соискатели на открытые вакансии в компании Оператора;
Категория 4 — потенциальные контрагенты Оператора;
Категория 5 — контрагенты Оператора — физические лица;
Категория 6 — привлеченные контрагентом Оператора для заключения/исполнения договора физические лица.
1.9. Определение для каждой цели обработки персональных данных категории (перечня) обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований указан в таблице 1.9.
Таблица 1.9
Цель обработки ПД | Категории субъектов | Категории обрабатываемых ПД | Способ обработки | Срок обработки и хранения | Порядок уничтожения |
1 | 4,5,6 | 1,10,11,12,14,15 | Автоматизированный, неавтоматизированный | Обязательный срок хранения Договора после его прекращения | П.8.9 настоящего Положения |
2 | 1,2,5 | 1-28 | Автоматизированный, неавтоматизированный | Хранение в архиве от 1 года до 75 лет (в соответствии с категорией) | П.8.9 настоящего Положения |
3 | 1 | 1,9,10,16 | Автоматизированный, неавтоматизированный | 5 лет | П.8.9 настоящего Положения |
4 | 1 | 1 | Автоматизированный, неавтоматизированный | 5 лет | П.8.9 настоящего Положения |
5 | 1 | 1-5,7-8,10-14,17,20 | Автоматизированный, неавтоматизированный | 5 лет | П.8.9 настоящего Положения |
6 | 1,2,5,6 | 1-28 | Автоматизированный, неавтоматизированный | 5 лет | П.8.9 настоящего Положения |
7 | 4,5,6 | 1-8,10-16,18 | Автоматизированный, неавтоматизированный | 5 лет | П.8.9 настоящего Положения |
8 | 3 | 1-9,11,13-15,19 | Автоматизированный, неавтоматизированный | 1 год | П.8.9 настоящего Положения |
2. Условия обработки персональных данных Оператором
2.1. Обработка персональных данных Оператором производится при соблюдении следующих условий:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
4) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
5) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
6) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
7) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно. Обработка персональных данных, касающихся состояния здоровья, полученных в результате обезличивания персональных данных, допускается в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24.04.2020 N 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации — городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных» и Федеральным законом от 31.07.2020 N 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации», в порядке и на условиях, которые предусмотрены указанными федеральными законами;
8) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом от 03.07.2016 N 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
9) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
10) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», при условии обязательного обезличивания персональных данных;
11) обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24.04.2020 N 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации — городе федерального значения Москве и внесении изменений в ст. ст. 6 и 10 Федерального закона «О персональных данных», в порядке и на условиях, которые предусмотрены Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», и Федеральным законом от 31.07.2020 N 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации», в порядке и на условиях, которые предусмотрены указанными федеральными законами;
12) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
2.2. Оператор на основании договора может поручить обработку персональных данных третьему лицу. Существенным условием такого договора является наличие права у данного лица на обработку персональных данных, обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
2.3. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении в порядке, предусмотренном Положением о хранении персональных данных у Оператора.
2.4. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в рамках законодательства Российской Федерации
3. Специальные категории персональных данных. Иные условия.
3.1. Общество может осуществлять обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни в случаях, если:
• обработка таких категорий персональных данных необходима для достижения конкретных, заранее определенных и законных целей;
• субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
• персональные данные сделаны общедоступными субъектом персональных данных;
• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно.
3.2. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются для установления личности субъекта персональных данных в Обществе не обрабатываются.
3.3. Трансграничная передача персональных данных Обществом не осуществляется.
3.4. Принятие решения на основании исключительно автоматизированной обработки
3.5. Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы, не осуществляется.
3.6. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
4. Права субъекта персональных данных
4.1. В соответствии с главой 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» субъект персональных данных имеет право на получение сведений, касающихся обработки его персональных данных Обществом, а именно:
• подтверждение факта обработки персональных данных Обществом;
• правовые основания и цели обработки персональных данных;
• цели и применяемые Обществом способы обработки персональных данных;
• наименование и местонахождение Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
• информацию о способах исполнения Оператором обязанностей, установленных статьей 18.1 Федерального закона «О персональных данных»;
• иные сведения, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами.
4.2 Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4.3 Субъект персональных данных имеет право заявить возражение против принятия в его отношении решений, порождающих юридические последствия на основе исключительно автоматизированной обработки персональных данных.
4.4 Субъект персональных данных имеет право отозвать согласие на обработку его персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
4.5 Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
4.6 В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.
4.7. Оператор обеспечивает права субъектов персональных данных в порядке, установленном главами 3 и 4 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
4.8. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в порядке ст. ст. 185 и 185.1 Гражданского кодекса Российской Федерации, ч. 2 ст. 53 Гражданского процессуального кодекса Российской Федерации или удостоверенной нотариально согласно ст. 59 Основ законодательства Российской Федерации о нотариате (утв. Верховным Советом Российской Федерации от 11.02.1993 N 4462-1). Копия доверенности представителя, отснятая Оператором с оригинала, хранится Оператором не менее трех лет, а в случае, если срок хранения персональных данных больше трех лет, — не менее срока хранения персональных данных.
4.9. Сведения, указанные в ч. 7 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», предоставляются субъекту персональных данных Оператором в доступной форме без персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных, в электронном виде. По требованию субъекта персональных данных они могут быть продублированы на бумаге. Доступная форма заверяется куратором ОПД или иным уполномоченным приказом руководителя Оператора сотрудником Службы ОПД.
4.10. Сведения, указанные в ч. 7 ст. 14 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», предоставляются субъекту персональных данных или его представителю оператором в течение 10 (десяти) рабочих дней с момента обращения либо получения оператором запроса субъекта персональных данных или его представителя.
Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
4.11. Субъект персональных данных имеет право на получение информации, касающейся обработки его Персональных данных, в установленном законодательством РФ порядке. Субъект персональных данных вправе требовать уточнения его Персональных данных, их блокирования или уничтожения в случае, если Персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4.12. Субъект персональных данных, являющийся пользователем сайта, выражает свое согласие на получение уведомлений о новых продуктах и услугах, специальных предложениях и различных событиях. Пользователь всегда может отказаться от получения информационных сообщений, направив письмо на адрес электронной почты info@vodaco.ru с пометкой «Отказ от уведомлений».
4.13. Субъект персональных данных, являющийся пользователем сайта, вправе в любой момент отозвать свое согласие на обработку Персональных данных, а также получить разъяснения по вопросам, касающимся обработки его Персональных данных, направив соответствующий запрос на адрес электронной почты: info@vodaco.ru .
Иные права и обязанности Субъекта персональных данных, являющегося пользователем сайта, и ООО «ВОДАКО» определяются законодательством Российской Федерации о персональных данных.
4.14. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
5. Согласие субъекта персональных данных на обработку его персональных данных
5.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных является конкретным, предметным, информированным, сознательным и однозначным.
5.2. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Обществом.
5.3. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.
5.4. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
5.5. Оператор ведет учет полученных согласий в Журнале (Журналах) учета полученных согласий.
5.6. Для письменного согласия достаточно простой письменной формы.
5.7. Согласие на обработку персональных данных, предоставленных в форме обратной связи на сайте Оператора https://vodaco.ru, оформляется путем проставления V (галочки) в графе «Я ознакомлен с текстом Положения об обработке персональных данных и согласия на обработку, и согласен на обработку и хранение моих персональных данных».
5.8. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в ч. 1 ст. 15 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
6. Обязанности оператора
6.1 В соответствии с главой 4 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» Оператор обязан:
• предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных;
• разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку;
• обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
• до начала обработки персональных данных, полученных не от субъекта персональных данных, предоставить субъекту персональных данных, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», следующую информацию: наименование либо фамилия, имя, отчество и адрес оператора или его представителя, цель обработки персональных данных и ее правовое основание, перечень персональных данных, предполагаемых пользователей персональных данных, источник получения персональных данных, права субъекта персональных данных.
6.2. При обращении субъекта персональных данных Общество, в порядке, предусмотренном Федеральным законом от 27 июля № 152-ФЗ «О персональных данных», обязано сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
6.3. В случае отказа в предоставлении информации Общество обязано дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 10-ти дней со дня получения запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
6.4. При обращении субъекта персональных данных Общество, в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, обязано внести в них необходимые изменения. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
6.5. При обращении субъекта персональных данных Общество, в срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные.
6.6. Общество обязано уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
6.7. Общество обязано сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10-ти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
6.8. Оператор исполняет обязанности, связанные с обработкой, обеспечением безопасности и конфиденциальности персональных данных работников и третьих лиц, предусмотренные законодательством РФ, настоящим Положением и локальными актами Оператора.
7. Реализуемые требования к защите персональных данных (меры по безопасности персональных данных)
7.1 Обществом принимаются меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
7.2 Обеспечение безопасности достигается применением мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», а именно:
7.2.1. Определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных. С учетом определения актуальных угроз по 3 типу, принято решение об обеспечении 4-го уровня защищенности персональных данных.
7.2.2. Применены правовые, организационные и технические меры по обеспечению безопасности персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Среди них:
а) организован режим обеспечения безопасности помещений, в которых размещена информационная система, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечена сохранность и учет носителей персональных данных;
в) утвержден документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
г) используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
д) назначены работники, ответственные за обработку ПД и за обеспечение безопасности персональных данных в информационной системе.
е) внедрены и действуют меры по защите технических средств, исключающие несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее — средства обеспечения функционирования), и в помещения, в которых они постоянно расположены. При доступе к электронным носителям персональных данных или к местам хранения физических носителей персональных данных, производится идентификация и аутентификация субъектов доступа и объектов с присвоением субъектам и объектам доступа уникального признака (идентификатора), сравнением предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверкой принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности). Меры по управлению доступом субъектов доступа к объектам доступа обеспечивают управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил.
ж) внедрены и действуют меры по ограничению программной среды, обеспечивающие установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключающие возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения, действует авторизованный доступ пользователей, имеющих права по доступу, к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования информационной системы (меры по обеспечению доступности персональных данных).
з) внедрены и действуют меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных), исключающие возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных.
и) внедрены и действуют меры по выявлению инцидентов и реагированию на них, обеспечивающие обнаружение, идентификацию, анализ инцидентов в информационной системе, ведется регистрация событий безопасности. По факту нарушения целостности системы и наличия угрозы безопасности, предпринимаются по устранению и предупреждению инцидентов.
к) внедрены и действуют меры по антивирусной защите и меры по обнаружению (предотвращению) вторжений, меры по обеспечению целостности информационной системы и персональных данных.
л) организован внутренний контроль соответствия обработки персональных данных Федеральному закону от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Общества в отношении обработки персональных данных, а также локальным актам оператора (контроль защищенности персональных данных, контроль за мерами по обеспечению безопасности персональных данных).
м) внедрены и действуют меры по защите информационной системы, ее средств, систем связи и передачи данных, обеспечивающие защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных.
н) внедрены и действуют меры по управлению конфигурацией информационной системы и системы защиты персональных данных.
о) В случае модификации или уничтожения персональных данных вследствие несанкционированного доступа, производится восстановление персональных данных.
п) Изданы документы, определяющие политику в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, определяющие для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
р) произведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», определено соотношение вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
с) работники Общества, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Общества в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.
т) Обществом опубликован и обеспечивается неограниченный доступ к документу, определяющему политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных, в том числе на страницах принадлежащего Оператору сайта в информационно-телекоммуникационной сети «Интернет» https://vodaco.ru/private-policy/ (выше и далее — Сайт), с использованием которых осуществляется сбор персональных данных.
у) Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.
8. Порядок обработки персональных данных
8.1. В соответствии с поставленными целями и задачами Оператор до начала обработки персональных данных назначает ответственного за организацию обработки персональных данных (Куратор ОПД) и за обеспечение безопасности персональных данных в информационной системе (Куратор БПД).
8.2. Кураторы получают указания непосредственно от исполнительного органа Оператора и подотчетны ему.
8.3. Куратор ОПД вправе оформлять и подписывать уведомление, предусмотренное ч. 1 и 3 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
8.4. Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены под подпись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, с данным Положением и изменениями к нему. Перечень сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, утверждается
8.5. Куратор БПД обязан:
8.5.1. организовывать принятие технических мер для обеспечения защиты ПД, обрабатываемых Оператором в информационной системе, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
8.5.2. осуществлять внутренний контроль за соблюдением работниками Оператора, допущенными к работе с персональными данными, требований законодательства Российской Федерации в области доступа к информационной системе, электронным носителям ПД, соблюдения правил безопасности при автоматизированной обработке ПД.
8.6. Куратор ОПД обязан:
8.6.1. организовывать принятие правовых, организационных мер для обеспечения защиты ПД, обрабатываемых Оператором, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
8.6.2. осуществлять внутренний контроль за соблюдением работниками Оператора требований законодательства Российской Федерации в области ПД, в том числе требований к защите ПД;
8.6.3. доводить до сведения работников Оператора положения законодательства Российской Федерации в области ПД, локальных актов по вопросам обработки ПД, требований к защите ПД;
8.6.4. организовать прием и обработку обращений и запросов субъектов ПД или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов;
8.6.5. в случае нарушения требований к защите ПД принимать необходимые меры по восстановлению нарушенных прав субъектов ПД.
8.7. Куратор ОПД и Куратор БПД вправе:
• иметь доступ к информации, касающейся порученной ему обработки ПД и включающей:
• цели обработки ПД;
• категории обрабатываемых ПД;
• категории субъектов, персональные данные которых обрабатываются;
• правовые основания обработки ПД;
• перечень действий с персональными данными, общее описание используемых у Оператора способов обработки ПД;
• описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
• дату начала обработки ПД;
• срок или условия прекращения обработки ПД;
• сведения о наличии или об отсутствии трансграничной передачи ПД в процессе их обработки;
• сведения об обеспечении безопасности ПД в соответствии с требованиями к защите ПД, установленными Правительством Российской Федерации;
• привлекать к реализации мер, направленных на обеспечение безопасности ПД, иных сотрудников Оператора с возложением на них соответствующих обязанностей и закреплением ответственности.
8.8. В соответствии с поставленными целями и задачами обработка, извлечение, использование, передача (распространение, предоставление, доступ) ПД осуществляются только сотрудниками, допущенными к обработке ПД.
8.9.Обезличивание, блокирование, удаление, уничтожение персональных данных осуществляются комиссией, состоящей из Куратора ОПД, Куратора БПД и работника, допущенного к обработке ПД, по следующей процедуре:
8.9.1. Ежегодно осуществляется экспертиза ценности дел (документов), содержащих персональные данные, постоянного и временного сроков хранения. По результатам экспертизы ценности документов составляются описи дел постоянного, временного (свыше 10 (десяти) лет) хранения и по личному составу (включая описи электронных документов постоянного хранения) (далее — описи дел).
8.9.2. Документы (дела), не подлежащие хранению и включенные в данные акты, уничтожаются в присутствии специальной комиссии, созданной специально для уничтожения документов.
8.9.3. По окончании процедуры уничтожения комиссией составляется акт об уничтожении документов, в учетных формах (номенклатурах дел, журналах) проставляется отметка об их уничтожении, пишется словами или проставляется штамп «Уничтожено. Акт (дата, N)», заверяется подписью членов специальной комиссии или работника, осуществляющего учет документов, содержащих персональные данные.
8.9.4. Уничтожение выделенных документов на бумажных носителях осуществляется с помощью бумагорезательной машины путем измельчения документов на куски, гарантирующего невозможность восстановления текста.
8.9.5. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
9. Использование технических данных
9.1. С целью повышения производительности Сайта и упрощения работы с ним используются файлы cookie.
Файлы cookie представляют собой небольшие фрагменты данных, с помощью которых Сайт может отличать новых и старых Пользователей Сайта и определять, как происходит пользование Сайтом, а также файлы cookie необходимы для обеспечения работы Сайта.
В соответствии с применимым законодательством Российской Федерации, мы можем сохранять файлы cookie на компьютере Пользователя, если они необходимы для работы Сайта. При этом сохранение других файлов cookie требует разрешения Пользователя.
Если на компьютере Пользователя установлен Adobe Flash2 (на большинстве компьютеров он имеется) и Пользователь использует видеопроигрыватели, мы сохраняем на компьютере Пользователя файлы Flash cookie. Эти файлы используются для хранения данных, необходимых для воспроизведения видео- или аудиоконтента, а также для хранения предпочтений Пользователя.
ООО «ВОДАКО» использует сервисы веб-аналитики, чтобы узнать о том, как Пользователи используют Сайт. Такие сервисы считают количество Пользователей и дают общую информацию о поведении Пользователей, например, определяют ключевые слова в поисковых системах, с помощью которых Пользователь пришел на Сайт, стандартную продолжительность пребывания на Сайте, или среднее число страниц, просмотренных Пользователем. С этой целью на компьютере Пользователя размещаются основные файлы cookie.
Если Пользователь хочет отключить использование файлов cookie, ему необходимо зайти в настройки персонального компьютера и отключить использование всех типов файлов cookie или включить функцию предупреждения при их сохранении.
В отношении зарегистрированных Пользователей Сайта могут собираться сведения об использовании портов на устройствах Пользователей с целью выявления подозрительной активности и защиты личных данных Пользователей. Данные могут быть получены с помощью различных методов, например, файлов cookies и файловых веб-маяков и др.
9.2. Сайт использует Google Analytics, сервис для анализа посещаемости Сайта, предоставляемый корпорацией Google Inc. (далее по тексту — «Google»). Google Analytics использует файлы cookie, текстовые файлы, которые размещаются на компьютере Пользователя и позволяют проанализировать поведение Пользователя на Сайте. Информация об использовании этого веб-Сайта (включая анонимный IP-адрес), собранная файлом cookie, передается и хранится на серверах Google в США. Компания Google использует эту информацию для анализа пользования Сайтом, составления отчетов о работе Сайта для его работников и предоставления других услуг, связанных с работой Сайта и использования Интернет-ресурсов. Google может передавать такую информацию третьим лицам в рамках действующего законодательства, а также в тех случаях, когда указанные третьи лица обрабатывают такие данные по поручению компании Google. Переданный IP-адрес не объединяется с другими данными Google. Пользователь может отказаться от использования файлов cookie в настройках своего браузера, однако в этом случае он не сможете воспользоваться всеми функциями этого Сайта.
Если Пользователь не согласен с тем, что на Сайте используется данный тип файлов, то он должен соответствующим образом установить настройки своего браузера или отказаться от использования Сайта.
Информацию о том, как изменить настройки файлов cookie для браузера Пользователя можно найти, перейдя по следующим ссылкам:
— Microsoft Edge: https://support.microsoft.com/ru-ru/help/4555686/temporarily-allow-cookies-and-site-data-in-microsof...
— Internet Explorer: http://windows.microsoft.com/en-GB/windows-vista/Block-or-allow-cookies
— Google Chrome: https://support.google.com/chrome/answer/95647?hl=ru
— Firefox: https://support.mozilla.org/ru/kb/vklyuchenie-i-otklyuchenie-kukov-ispolzuemyh-veb-s
— Safari: http://help.apple.com/safari/mac/8.0/#/sfri11471
— Opera: https://help.opera.com/ru/latest/web-preferences/#cookies
— Yandex: https://yandex.ru/support/browser/personal-data-protection/cookies.html
— Orbitum: https://orbitum.com/ru/faq/
10. Заключительные положения
10.1. Внесение изменений в настоящую Политику производится путем издания соответствующего приказа, подписанного руководителем Учреждения.
10.2. При внесении изменений в заголовке указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента её опубликования.
10.3. Актуальная редакция настоящего Положения в любое время доступна по ссылке: https://vodaco.ru/private-policy/. ООО «ВОДАКО» оставляет за собой право в одностороннем порядке вносить в Положение изменения при условии, что изменения не противоречат законодательству РФ. Изменения условий настоящих правил вступают в силу после их публикации на Сайте.