Политика в отношении обработки и защиты персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Положение об обработке персональных данных ООО «ДОНСТРОЙ» (далее — Положение) определяет общие принципы и порядок обработки персональных данных, обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных и процедуры, направленные на предотвращение нарушений требований законодательства Российской Федерации.
1.2. Положение определяет политику ООО «ДОНСТРОЙ» (далее — Общество) в отношении обработки и защиты персональных данных.
1.3. Настоящее положение вступает в силу с момента его утверждения Генеральным директором ООО «ДОНСТРОЙ».
1.4. Все работники Общества, допущенные к обработке персональных данных, должны быть ознакомлены с настоящим Положением под роспись.
1.5. В настоящем Положении используются следующие термины и определения:
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Доступ к персональным данным — ознакомление определенных лиц (в том числе работников) с персональными данными субъектов, обрабатываемыми Обществом, при условии сохранения конфиденциальности этих сведений.
Информация — сведения (сообщения, данные) независимо от формы их представления.
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Информационные технологии — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Конфиденциальность персональных данных — обязанность лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ.
Материальный носитель персональных данных — материальный объект, используемый для закрепления и хранения информации. В целях настоящего Положения под материальным носителем понимается бумажный документ, диск, дискета, флэш-карта и т.п.
Несанкционированных доступ (несанкционированные действия) — доступ к информации или действия с информацией, нарушающие права разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Специальные категории персональных данных — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни.
Субъект персональных данных — физическое лицо, к которому относятся персональные данные.
Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.6. В настоящем Положении используются следующие сокращения:
ИСПДн — информационная система персональных данных
2. СТАТУС ОБЩЕСТВА И КАТЕГОРИИ СУБЪЕКТОВ, ЧЬИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ОБРАБАТЫВАЮТСЯ ОБЩЕСТВОМ
2.1. Общество является Оператором персональных данных (далее — Оператор) в отношении персональных данных следующих физических лиц:
— работников ООО «ДОНСТРОЙ», с которыми заключены или были заключены и расторгнуты трудовые договоры, а также лиц, выполняющих работы в интересах Общества в соответствии с заключенными с ними гражданско-правовыми договорами (далее — Работники);
— близких родственников работников ООО «ДОНСТРОЙ», обработка персональных данных которых предусмотрена федеральными законами, а также выполняется Оператором как работодателем в соответствии с требованиями органов государственного статистического учета (далее — Родственники работников);
— соискателей вакантных должностей Общества, представивших лично или через специализированные организации по подбору персонала (кадровые агентства) или специализированную автоматизированную систему подбора персонала свои резюме или анкеты (далее — Соискатели);
— контрагентов и представителей контрагентов ООО «ДОНСТРОЙ» (физические лица, включая самозанятые, юридические лица, индивидуальные предприниматели), с которыми у Общества существуют договорные отношения или с которыми Общество намерено вступить в договорные отношения;
— клиентов и представителей клиентов ООО «ДОНСТРОЙ», с которыми у Общества существуют договорные отношения или с которыми Общество намерено вступить в договорные отношения;
— представителей субъектов персональных данных, не являющихся работниками ООО «ДОНСТРОЙ», обращающихся в Общество по поручению и от имени субъектов персональных данных (далее — Представители субъектов);
— пользователей сайта https://donstroy.moscow, обращающихся в Общество посредством заполнения и (или) акцепта форм, расположенных на сайте Общества;
— посетителей служебных зданий, помещений и территорий Общества, которым необходимо оформление разового пропуска (далее — Посетители)
— пользователи приложения Домиленд.
2.2. Категории и перечни персональных данных, обрабатываемых Обществом в отношении каждой категории субъектов персональных данных, а также сроки обработки, хранения персональных данных определены в формах согласий субъекта персональных данных на обработку персональных данных, являющихся Приложением 1 к настоящему Положению.
2.3. Общество осуществляет обработку персональных данных по поручению других Операторов, к которым относятся (включая, но не ограничиваясь):
— органы власти и государственные внебюджетные фонды, в которые перечисляются средства Работников или средства для зачисления на счет Работников (налоговые инспекции Федеральной налоговой службы, территориальные отделения Пенсионного фонда России, Федерального фонда обязательного медицинского страхования, Фонда социального страхования и др.);
— военные комиссариаты, которым персональные данные предоставляются (передаются) в случаях, предусмотренных действующим законодательством Российской Федерации, и в объеме, определенном этим законодательством.
Указанным Операторам персональные данные предоставляются (передаются) в объеме, определенном федеральными законами, соответствующими органами власти и государственными внебюджетными фондами в пределах их полномочий. Специального согласия субъектов на такую передачу персональных данных не требуется.
3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка Обществом персональных данных осуществляется в соответствии со следующими принципами:
3.1. Законность и справедливая основа обработки персональных данных. Общество принимает все необходимые меры по выполнению требований законодательства, не обрабатывает персональные данные в случаях, когда это не допускается законами Российской Федерации, не использует персональные данные во вред субъектам персональных данных.
3.2. Ограничение обработки персональных данных достижением конкретных, заранее определённых и законных целей. Целями обработки персональных данных Обществом являются:
— в отношении Работников — соблюдение требований Конституции Российской Федерации, федеральных законов и иных нормативно правовых актов, внутренних актов Оператора по исполнению прав и обязательств, появившихся в связи заключением трудовых (гражданско-правовых) отношений, включая: заключение трудового договора, ведение кадрового делопроизводства и воинского учета, обучение и повышение квалификации, направление в служебные командировки, исполнение условий трудового договора и локальных актов Общества (оформление банковской дебетовой карты, полиса добровольного медицинского страхования, постоянного пропуска на территорию Общества и т.д.), обеспечение личной безопасности работников, охрана труда, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, учёт результатов исполнения Работником трудовых обязанностей, расчет и выплата заработной платы, иных вознаграждений, расчет и перечисление налогов и страховых взносов, выполнение требований нормативных правовых актов органов государственного статистического учета, наделение полномочиями на основании выданной Обществом доверенности, ведение кадрового резерва Общества, формирование корпоративного справочника ООО «ДОНСТРОЙ», публикация контактной информации на официальном сайте Общества;
— в отношении Родственников работников — предоставление Работникам льгот и гарантий, предусмотренных федеральным законодательствам для лиц, имеющих (усыновивших) детей, лиц с семейными обязанностями, включая выполнение требований нормативных правовых актов органов государственного статистического учета, а также в случаях, установленных законодательством Российской Федерации (получение алиментов, оформление социальных выплат);
— в отношении Соискателей — трудоустройство на вакантные должности Общества, включая принятие решения о возможности замещения вакантных должностей кандидатами, наиболее полно соответствующими требованиям Общества, тестирование профессиональных качеств кандидата, ведение кадрового резерва Общества;
— в отношении Представителей клиентов — выполнение норм Гражданского кодекса РФ, регулирующих договорную работу, включая обеспечение возможности выполнения сторонами договорных отношений своих обязательств;
— в отношении Клиентов — выполнение требований законодательства, регулирующих договорную работу, включая обеспечение возможности выполнения сторонами договорных отношений своих обязательств, ведение бухгалтерского учета, а также осуществление действий, направленных на заключение договорных отношений;
— в отношении Контрагентов (физических лиц, включая самозанятых, юридических лиц, индивидуальных предпринимателей) — подтверждение осуществления действий (полномочий) физического лица, представителя юридического лица, индивидуального предпринимателя для заключения договора, исполнения Обществом установленных законодательством РФ функций и полномочий по бухгалтерскому и налоговому учету;
— в отношении Представителей субъектов — выполнение Обществом действий по поручению субъектов персональных данных и Представителей субъектов персональных данных;
— в отношении Пользователей сайта https://donstroy.moscow — осуществление коммерческой деятельности Общества в сети Интернет, включая действия, направленные на заключение договорных отношений (в том числе преддоговорную работу), действия, направленные на оптимизацию работы сайта Общества и оказывающие влияние на повышение качества и удобства использования сайта потенциальными Клиентами;
— в отношении Посетителей — обеспечение возможности прохода в здания, помещения и на территорию Общества лиц, не имеющих постоянных пропусков
— в отношении пользователей приложения Домиленд — реализация функционала «Обратный звонок» с использованием приложения Домиленд.
3.3. Обработка только тех персональных данных, которые отвечают заранее объявленным целям их обработки. Соответствие содержания и объёма обрабатываемых персональных данных заявленным целям обработки. Недопущение обработки персональных данных, не совместимых с целями сбора персональных данных, а также избыточных по отношению к заявленным целям их обработки. Общество не собирает и не обрабатывает персональные данные, не требующиеся для достижения целей, указанных в п.3.2 настоящего Положения, не использует персональные данные субъектов в каких-либо целях, отличных от указанных выше.
3.4. Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.
3.5. Обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных. Общество принимает все разумные меры по поддержке актуальности обрабатываемых персональных данных, включая, но не ограничиваясь, реализацией права каждого субъекта получать для ознакомления свои персональные данные и требовать от Общества их уточнения, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных выше целей обработки.
3.6. Хранение персональных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого или выгодоприобретателем по которому является субъект персональных данных.
3.7. Уничтожение либо обезличивание персональных данных по достижении заявленных целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Обществом допущенных нарушений установленного законом порядка обработки персональных данных, отзыве согласия на обработку субъектом персональных данных, если иное не предусмотрено федеральными законами или договором, стороной которого или выгодоприобретателем по которому является субъект персональных данных.
3.8. Порядок уничтожения персональных данных Обществом.
3.8.1. Условия и сроки уничтожения персональных данных Обществом:
• достижение цели обработки персональных данных либо утрата необходимости достигать эту цель — в течение 30 дней;
• достижение максимальных сроков хранения документов, содержащих персональные данные, — в течение 30 дней;
• предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, — в течение семи рабочих дней;
• отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, — в течение 30 дней.
3.8.2. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
• Общество не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
• иное не предусмотрено другим соглашением между Обществом и субъектом персональных данных.
4. УСЛОВИЯ И ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка Обществом персональных данных допускается в следующих случаях:
— при наличии согласия субъекта персональных данных на обработку его персональных данных (форма согласия приведена в Приложении 1);
— для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей;
— для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта);
— для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Преддоговорной работой является работа по подбору персонала, в которой согласие субъекта на обработку подтверждается собственноручно заполненной анкетой соискателя должности или анкетой (резюме), переданной субъектом Обществу или в специализированную организацию по подбору персонала, размещенной субъектом на специализированных сайтах в сети Интернет или направленной субъектом Обществу по электронной почте, а также действия, направленные на заключение договоров с Клиентами, Пользователями сайта Общества https://donstroy.moscow и Контрагентами Общества;
— для защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных, если получение согласия субъекта персональных данных невозможно;
— для осуществления прав и законных интересов Общества или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
— обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;
— доступ неограниченного круга лиц к персональным данным предоставлен субъектом персональных данных или по его просьбе (как предоставление субъектом неограниченного доступа к своим персональным данным Общество рассматривает передачу субъектами персональных данных своих визитных карточек представителям Общества, а данные, указанные на визитной карточке, — как данные, доступ к которым субъектом предоставлен неограниченному кругу лиц);
— персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом (как данные, подлежащие обязательному раскрытию, обработка которых не требует согласия субъекта, Общество рассматривает сведения о субъектах персональных данных, полученные при проведении публичных мероприятий (конференций, круглых столов и т.д.).
4.2. Общество не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
4.3. Общество не обрабатывает персональные данные, относящиеся к специальным категориям и касающиеся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья (за исключением сведений, относящихся к вопросу о возможности выполнения работником трудовой функции), интимной жизни субъектов, о членстве Работников в общественных объединениях или их профсоюзной деятельности, за исключением случаев, прямо предусмотренных законодательством или договором.
4.4. Обработка персональных данных о судимости может осуществляться Обществом исключительно в случаях и в порядке, установленных федеральными законами.
4.5. Биометрические персональные данные могут обрабатываться только при наличии согласия субъекта в письменной форме или в случае, когда такая обработка предусмотрена федеральными законами. Общество не рассматривает как обработку биометрических персональных данных хранение фотографий работников, размещение фотографий работников на сайте Общества, а также изображение, полученное при осуществлении видеонаблюдения на территории, в зданиях и помещениях ООО «ДОНСТРОЙ», поскольку в этих случаях фото- и видео- изображения (их копии) не используются Обществом как Оператором для установления личности субъектов персональных данных.
4.6. Общество не обрабатывает персональные данные в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным Клиентом с помощью средств связи без предварительного согласия субъекта персональных данных.
4.7. Общество не принимает решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих права и законные интересы субъектов, на основании исключительно автоматизированной обработки персональных данных. Данные, имеющие юридические последствия или затрагивающие права и законные интересы субъекта, подлежат перед их использованием проверке со стороны уполномоченных работников Общества.
4.8. Общество получает персональные данные непосредственно у субъекта персональных данных, за исключением персональных данных Родственников работников, которые предоставляются Работниками в случаях, предусмотренных законами и нормативными правовыми актами органов государственной власти, а также Контрагентов, которые передают Обществу персональные данные своих работников. Ответственность за полноту и достоверность предоставленных данных в этих случаях несут соответственно Работники и Контрагенты. Общество не принимает на себя никаких обязательств по проверке предоставленных Работниками и Контрагентами персональных данных. Работники и Контрагенты самостоятельно информируют субъектов, чьи персональные данные переданы Обществу, о передаче таких данных.
В случаях, когда получение персональных данных у Работников невозможно, но такие данные необходимы для осуществления трудовых отношений, Общество получает согласие Работников в письменной форме на запрос таких персональных данных у третьих лиц.
4.9. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
4.10. Общество с согласия субъекта персональных данных имеет право поручить обработку персональных данных другому лицу (если иное не предусмотрено федеральным законом), на основании заключаемого с этим лицом договора (далее — поручение Оператора). Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных в соответствии с законодательством РФ. В поручении на обработку должны быть определены перечень действий (операций) с персональными данными и цель их обработки, а также установлена обязанность соблюдения конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке, указаны требования к защите обрабатываемых персональных данных.
5. СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Общество осуществляет обработку персональных данных с использованием средств автоматизации, а также без использования таких средств.
6. КОНФИДЕНЦИАЛЬНОСТЬ персональных данных
6.1. Общество обеспечивает конфиденциальность обрабатываемых им персональных данных в порядке, предусмотренном федеральными законами.
Обеспечение конфиденциальности не требуется в отношении:
— персональных данных после их обезличивания;
— персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных лично либо по его просьбе;
— персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральными законами.
7. СОГЛАСИЕ СУБЪЕКТА персональных данных НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Согласие субъекта персональных данных на обработку персональных данных, включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, с использованием и без использования средств автоматизации, в целях, указанных в п. 3.2. настоящего Положения.
7.2. Субъект персональных данных принимает решение о предоставлении его персональных данных Обществу и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным и может быть дано субъектом персональных данных (или его Представителем) в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральными законами.
7.3. В случае получения согласия на обработку персональных данных от Представителя субъекта персональных данных, полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Обществом.
7.4. Специального выраженного согласия Работника на обработку его персональных данных не требуется, т.к. обработка необходима для исполнения трудового договора, стороной которого является Работник — субъект персональных данных, за исключением случаев, когда необходимо получение согласия Работника в письменной форме для конкретных случаев обработки персональных данных.
7.5. Специального выраженного согласия Родственников работников Общества не требуется, если обработка их персональных данных осуществляется на основании федеральных законов (получение алиментов, оформление социальных выплат и пр.), а также выполняется Обществом как работодателем в соответствии с требованиями органов государственного статистического учета.
7.6. Специального выраженного согласия Соискателя на обработку его персональных данных не требуется, т.к. обработка необходима в целях заключения трудового договора по инициативе Соискателя — субъекта персональных данных, за исключением случаев, когда необходимо получение согласия Соискателя в письменной форме для конкретных случаев обработки персональных данных. В частности, для содействия в трудоустройстве Оператором осуществляется ведение кадрового резерва для последующего рассмотрения анкет Соискателей при появлении в ООО «ДОНСТРОЙ» вакантных должностей. В случае принятия решения об отказе Соискателю в приеме на работу и несогласия Соискателя с дальнейшей обработкой его персональных данных в рамках кадрового резерва, его персональные данные должны быть уничтожены Обществом в течение 30 дней с даты принятия такого решения.
При отказе Соискателя дать письменное согласие на получение его персональных данных у других организаций, учреждений и граждан Общество вправе отказать в приеме на работу, если для заключения трудового договора Соискателем не представлены все необходимые документы в соответствии с законодательством Российской Федерации.
7.7. Персональные данные лиц, подписавших договор с Обществом, содержащиеся в единых государственных реестрах юридических лиц и индивидуальных предпринимателей, являются открытыми и общедоступными, за исключением сведений о номере, дате выдачи и органе, выдавшем документ, удостоверяющий личность физического лица. Охраны их конфиденциальности и согласия субъектов на обработку не требуется. Во всех остальных случаях необходимо получение согласия субъектов персональных данных, являющихся Представителями контрагентов Общества, за исключением лиц, подписавших договоры с Обществом, а также предоставивших доверенности на право действовать от имени и по поручению Контрагентов и тем самым совершивших конклюдентные действия, подтверждающие их согласие с обработкой персональных данных, указанных в тексте договора и/или доверенности. Согласие у своего работника на передачу его персональных данных Обществу и обработку им этих персональных данных должен получить Контрагент (в этом случае получения Обществом согласия субъекта на обработку его персональных данных не требуется).
7.8. Согласие на обработку персональных данных Клиентов, подписавших договор с Обществом, дается в форме конклюдентных действий, выраженных в предоставлении своих персональных данных, необходимых для заключения и контроля исполнения сторонами договора. Порядок сбора и обработки персональных данных Клиентов осуществляется в соответствии с требованиями законодательства, регулирующими договорные отношения, и условиями заключенного договора.
7.9. Согласие Представителя субъекта на обработку его персональных данных дается в форме конклюдентных действий, выраженных в предоставлении доверенности на право действовать от имени и по поручению субъектов персональных данных, и документа, удостоверяющего его личность.
7.10. Согласие Посетителя на обработку персональных данных дается в форме конклюдентных действий, выраженных либо в предоставлении своих персональных данных, необходимых для входа в здания, помещения и на территорию Общества, либо в форме предъявления документа, удостоверяющего личность, работникам Бюро пропусков. Конклюдентные действия Посетителя также подтверждают его согласие с обработкой персональных данных, предоставленных для прохода на охраняемую территорию Общества, работникам частной охранной организации, осуществляющей охрану территории и доступ на нее.
7.11. Согласие Пользователя сайта на обработку персональных данных дается в форме конклюдентных действий, выраженных либо в предоставлении своих персональных данных при заполнении форм заявки, регистрации на сайте Общества и подписке на новостную рассылку, либо в продолжении использования сайта Общества (обработка файлов cookies).
7.12. При запросе Обществом персональных данных, обработка которых не установлена требованиями законодательства или не требуется для исполнения договора, стороной которого является субъект персональных данных, необходимо получение согласия субъекта только на обработку дополнительно истребованных персональных данных.
7.13. Согласие субъектов на предоставление их персональных данных не требуется при получении Обществом, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля соблюдения трудового законодательства, и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной федеральными законами.
Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.
7.14. Общество предоставляет сведения, содержащие персональные данные субъектов персональных данных органам государственной власти, иным государственным органам, органам местного самоуправления, обладающим правом на получение информации, содержащей персональные данные в соответствии с действующим законодательством Российской Федерации, в пределах, необходимых для выполнения ими своих функций, включая, но не ограничиваясь:
— Федеральной инспекции труда и федеральным органам исполнительной власти, осуществляющим функции по контролю и надзору в установленной сфере деятельности;
— Федеральной налоговой службе, межрегиональным инспекциям и управлениям Федеральной налоговой службы по субъектам РФ;
— Федеральной службе государственной статистики и её территориальным органам;
— Федеральному фонду обязательного медицинского страхования и его территориальным органам;
— военным комиссариатам;
— Фонду социального страхования РФ;
— Пенсионному фонду РФ;
— судам.
7.15. Общество предоставляет сведения, содержащие персональные данные работников, в Пенсионный фонд РФ и Федеральную налоговую службу по телекоммуникационным каналам связи и, в соответствии с требованиями законодательства, использует криптографические средства для защиты персональных данных от неправомерного или случайного а к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.
7.16. В случае поступления запросов от организаций, не обладающих соответствующими полномочиями, Общество обязано получить согласие субъекта на предоставление его персональных данных и предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.
7.17. Согласие на обработку персональных данных, обработка которых не установлена требованиями законодательства, не требуется для исполнения договора с Обществом, стороной которого является субъект персональных данных, не необходима для осуществления прав и законных интересов Общества или третьих лиц, или для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных, может быть отозвано субъектом персональных данных.
7.18. Во всех случаях обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Федеральном законе «О персональных данных», возлагается на Общество.
8. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, предусмотренной законом путем направления Обществу соответствующего запроса в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. О всех внесенных изменениях Общество обязано уведомить субъекта персональных данных или его представителя, и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы (форма уведомления приведена в Приложении 2).
8.2. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных.
8.3. Сведения о наличии персональных данных предоставляются субъекту персональных данных уполномоченным работником Общества в доступной форме (форма ответа приведена в Приложении 3). Представленные сведения не должны содержать персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев наличия законных оснований для раскрытия таких персональных данных.
8.4. Обращения (запросы) на предоставления доступа к обрабатываемым персональным данным, с отметкой о предоставлении информации по запросу или отказе в предоставлении информации по запросу, фиксируются в соответствующем Журнале учета обращений субъектов персональных данных (Приложение 4).
8.5. Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований федерального законодательства или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
8.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
9. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Защита персональных данных, обрабатываемых Обществом, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований законодательства в области защиты персональных данных.
9.2. Правовые меры включают в себя:
— разработку локальных актов Общества, реализующих требования российского законодательства, в том числе — настоящего Положения;
— отказ от любых способов обработки персональных данных, не соответствующих целям, определенным Обществом.
9.3. Организационные меры включают в себя:
— назначение лица, ответственного за организацию обработки персональных данных;
— назначение лица, ответственного за обеспечение безопасности информационных систем персональных данных;
— ограничение состава работников Общества, имеющих доступ к персональным данным, и организацию разрешительной системы доступа к ним;
— издание Обществом документов, определяющих политику Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
— ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Общества в отношении обработки персональных данных, локальными актами Общества по вопросам обработки персональных данных, и (или) обучение указанных работников;
— публикация в информационно-телекоммуникационной сети на сайте Общества https://donstroy.moscow или иное обеспечение неограниченного доступа к документу, определяющему политику Общества в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
— определение в трудовых обязанностях и (или) должностных инструкциях работников Общества обязанностей по обеспечению безопасности обработки персональных данных и ответственности за нарушение установленного порядка;
— осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных действующему законодательству Российской Федерации, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
— оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения действующего законодательства Российской Федерации, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации;
— организацию учёта материальных носителей персональных данных и их хранения, обеспечивающих предотвращение хищения, подмены, несанкционированного копирования и уничтожения;
— определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных, формирование на их основе моделей угроз;
— размещение технических средств обработки персональных данных в пределах охраняемой территории;
— обеспечение обработки персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации;
— ограничение допуска посторонних лиц в помещения Общества, недопущение их нахождения в помещениях, где ведется работа с персональными данными и размещаются технические средства их обработки, без контроля со стороны работников Общества.
9.4. Технические меры включают в себя:
— определение уровня защищенности персональных данных и реализация требований к защите персональных данных при их обработке в информационных системах, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
— использование для нейтрализации актуальных угроз средств защиты информации, имеющих необходимые функции безопасности и (или) прошедших в установленном порядке процедуру оценки соответствия;
— оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;
— реализацию разрешительной системы доступа работников к персональным данным, обрабатываемым в информационных системах, к программно-аппаратным и программным средствам защиты информации;
— регистрацию и учёт действий c персональными данными пользователей информационных систем, в которых обрабатываются персональные данные;
— выявление вредоносного программного обеспечения (применение антивирусных программ) на всех узлах информационной сети Общества, обеспечивающих соответствующую техническую возможность;
— безопасное межсетевое взаимодействие (применение межсетевого экранирования);
— обнаружение вторжений в информационную систему Общества, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
— восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (применение системы резервного копирования и восстановления персональных данных);
— периодическое проведение мониторинга действий пользователей, разбирательств по фактам нарушения требований безопасности персональных данных;
— контроль выполнения настоящих требований не реже 1 раза
в 3 года.
10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
10.1. Иные обязанности и права Общества как Оператора персональных данных и лица, организующего их обработку по поручению других операторов, определяются законодательством Российской Федерации в области персональных данных.
10.2. Должностные лица и работники Общества, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
10.3. Положение пересматривается по мере необходимости. Обязательный пересмотр Положения проводится в случае существенных изменений законодательства в сфере персональных данных.
При внесении изменений в Положение учитываются:
— изменения в информационной инфраструктуре и (или) в используемых Обществом информационных технологиях;
— сложившаяся в Российской Федерации практика применения законодательства в области персональных данных;
— изменение условий и особенностей обработки персональных данных Обществом в связи с внедрением в ее деятельность новых информационных систем, процессов и технологий.