Положение об обработке персональных данных

1. Общие положения

1.1. Настоящий документ — Положение ООО «Брикстоун» об обработке персональных данных (далее — Положение) — разработан в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» (далее — Закон) и направлен на обеспечение прав и свобод физических лиц при обработке их персональной информации, включая защиту частной жизни, персональной, семейной тайны.

1.2. Положение применяется ко всем персональным данным, которые обрабатываются обществом с ограниченной ответственностью «Брикстоун» (ОГРН 1155476120040, ИНН 5446017219, юридический адрес: 633203, Новосибирская обл., г. Искитим, мкр. Индустриальный, 24А, офис 7; далее — Общество, Оператор), с учетом перечня, приведенного в Приложении №1 к настоящему документу.

1.3. Во исполнение требований ч. 2 ст. 18.1 Закона Положение размещается в открытом доступе в сети Интернет на официальном сайте Оператора: https://www.brickstone.su.

1.4. Настоящий документ служит основой для разработки локальных актов, регулирующих вопросы обработки персональных данных субъектов.

1.5. Положение распространяется на любую информацию, содержащую персональные данные физических лиц, полученную Обществом в рамках осуществления основной хозяйственной деятельности.

1.6. Обработка персональных данных может осуществляться как автоматизированными средствами, так и без их использования. Неавтоматизированная обработка возможна в форме бумажных документов либо файлов, размещенных на электронных носителях.

1.7. При обработке персональных данных Оператор руководствуется следующими принципами:
• правомерность и добросовестность обработки;
• обработка на основании заранее определенных, законных целей;
• соответствие обрабатываемых данных целям их получения;
• недопустимость объединения информационных баз, созданных для несовместимых целей;
• минимизация данных, исключение обработки избыточной информации;
• обеспечение точности, актуальности и достаточности данных;
• хранение данных не дольше срока, необходимого для достижения целей обработки, если иное не установлено законом или договором;
• уничтожение данных после достижения целей обработки либо при утрате необходимости их дальнейшего применения, если иное не предусмотрено законодательством.

1.8. Действие Положения распространяется на все отношения, связанные с обработкой персональных данных у Оператора, вне зависимости от даты их возникновения.

1.9. Положение подлежит актуализации при необходимости, в частности — при изменении требований законодательства Российской Федерации или условий обработки персональных данных, включая внедрение новых технологий и информационных систем.

1.10. Контроль соблюдения положений настоящего документа осуществляет уполномоченное лицо, назначенное в Обществе ответственным за организацию обработки персональных данных.

1.11. Ответственность за нарушение правил обработки и защиты персональных данных определяется законодательством Российской Федерации, а также локальными нормативными актами Оператора.

2. Термины и определения

• Автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники.

• Безопасность персональных данных – состояние защищенности персональных данных, которое характеризуется способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке.

• Биометрические ПДн - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Оператором для установления личности субъекта персональных данных.

• Блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн) по требованию Субъекта ПДн или Роскомнадзора.

• Информационная система ПДн - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий, и технических средств.

• Иные персональные данные – персональные данные, не относящиеся к Специальным категориям персональных данных или к Биометрическим персональным данным.

• Контролирующий орган - орган, уполномоченный на осуществление государственного контроля (надзора) за соответствием обработки персональных данных требованиям Законодательства РФ о персональных данных (Роскомнадзор).

• Конфиденциальность ПДн - обязанность не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

• Личный кабинет - приватная область Сайта, позволяющая зарегистрированному пользователю Сайта получать доступ к истории своих покупок и иных операций, а также хранить и изменять персональные данные, необходимые для совершения заказов.

• Материальный носитель ПДн – бумажный, электронный, машинный и прочие носители информации, используемые для воспроизведения (в том числе копирования, скачивания, сохранения, записи) и/или хранения информации, содержащей ПДн, обрабатываемой в автоматизированном виде (с использованием средств вычислительной техники) и не автоматизированном виде (без использования средств вычислительной техники).

• Обезличивание - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

• Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

• Обработка персональных данных без использования средств автоматизации (неавтоматизированная обработка персональных данных) – обработка персональных данных, осуществляемая при непосредственном участии человека.

• Оператор ПДн - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

• Персональные данные, ПДн - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн).

• ПДн, разрешенные субъектом ПДн для распространения, - ПДн, доступ неограниченного круга лиц к которым представлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном Законом о защите персональных данных.

• Пользователь - любое физическое лицо, просматривающее страницы Сайта на своем компьютере и/или мобильном устройстве, в т.ч. покупатель Общества, являющийся зарегистрированным пользователем Сайта и имеющий личный кабинет на Сайте;

• Предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.

• Распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц.

• Сайт Общества - официальный сайт Оператора: https://www.brickstone.su.

• Специальные категории ПДн – данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни.

• Трансграничная передача ПДн - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

• Удаление ПДн - изъятие ПДн из информационных систем с сохранением последующей возможности их восстановления.

• Уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.

• Сookies - это небольшие фрагменты данных, которые Сайт запрашивает у браузера, используемого на компьютере или мобильном устройстве Посетителя. Cookies отражают предпочтения Пользователя или его действия на Сайте, а также сведения об его оборудовании, дате и времени сессии. Сookies хранятся локально на компьютере или мобильном устройстве Пользователя. Пользователь может удалить сохраненные сookies в настройках соответствующего браузера.

3. Правовые основания обработки персональных данных

3.1. Основания для обработки персональных данных субъектов определяются в соответствии с требованиями Федерального закона №152-ФЗ «О персональных данных» и другими нормативными актами Российской Федерации. Обработка персональных данных Оператором допускается на основании следующих правовых источников:

Конституция Российской Федерации;
Трудовой кодекс РФ от 30.12.2001 №197-ФЗ;
Гражданский кодекс РФ от 30.10.1994 №51-ФЗ;
Налоговый кодекс РФ от 31.07.1998 №146-ФЗ;
Гражданский процессуальный кодекс РФ от 14.11.2002 №138-ФЗ;
Арбитражный процессуальный кодекс РФ от 24.07.2002 №95-ФЗ;
Кодекс административного судопроизводства РФ от 08.03.2015 №21-ФЗ;
Федеральный закон РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и защите информации»;
Федеральный закон от 01.04.1996 №27-ФЗ «Об индивидуальном учете в системе обязательного пенсионного страхования»;
Федеральный закон от 06.12.2011 №402-ФЗ «О бухгалтерском учете»;
Федеральный закон от 28.12.2003 №426-ФЗ «О специальной оценке условий труда»;
Федеральный закон от 07.08.2001 №115-ФЗ «О противодействии легализации доходов, полученных преступным путем, и финансированию терроризма»;
Федеральный закон от 08.02.1998 №14-ФЗ «Об обществах с ограниченной ответственностью»;
Федеральный закон от 12.12.2023 №565-ФЗ «О занятости населения в РФ»;
Федеральный закон от 24.11.1995 №181-ФЗ «О социальной защите инвалидов в РФ»;
Федеральный закон от 25.07.2002 №115-ФЗ «О правовом положении иностранных граждан в РФ»;
Федеральный закон от 28.12.2013 №400-ФЗ «О страховых пенсиях»;
Федеральный закон от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в РФ»;
Федеральный закон от 29.11.2010 №326-ФЗ «Об обязательном медицинском страховании в РФ»;
Федеральный закон от 29.12.2012 №273-ФЗ «Об образовании в РФ»;
Федеральный закон от 10.12.1995 №196-ФЗ «О безопасности дорожного движения»;
Закон РФ от 31.05.1996 №61-ФЗ «Об обороне»;
Закон РФ от 26.02.1997 №31-ФЗ «О мобилизационной подготовке и мобилизации»;
Закон РФ от 28.03.1998 №53-ФЗ «О воинской обязанности и военной службе»;
Постановление Правительства РФ от 27.11.2006 №719 «Об утверждении Положения о воинском учете»;
Постановление Правительства РФ от 21.01.2015 №29 «Об утверждении правил сообщения работодателем о заключении трудового или гражданско-правового договора с гражданином, замещавшим государственные и муниципальные должности»;
Постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований по защите персональных данных в информационных системах».

3.2. Дополнительными основаниями обработки персональных данных считаются:

Локальные нормативные акты и учредительные документы Оператора;
Договоры, где субъект персональных данных является стороной, выгодоприобретателем или поручителем, если обработка данных необходима для заключения договора или исполнения его условий;
Согласие субъекта персональных данных на их обработку.

4. Цели обработки персональных данных

4.1. Обработка персональных данных осуществляется только для конкретных, заранее определённых и законных целей. Использование данных в целях, не соответствующих целям их сбора, запрещено.

4.2. Цели обработки данных определяются деятельностью Общества и соответствуют положениям Устава.

4.3. Полный перечень целей обработки персональных данных приведён в Приложении №1 к настоящему Положению.

4.4. Обработка данных сотрудников допускается исключительно для:

соблюдения законодательства и нормативных актов;
содействия в трудоустройстве, обучении и профессиональном росте;
обеспечения личной безопасности работников;
контроля объёма и качества выполняемой работы;
сохранности имущества.

5. Категории, объем, сроки и условия обработки персональных данных

5.1. Обрабатываемые данные должны соответствовать заявленным целям, указанным в Приложении №1, и не содержать избыточной информации.

5.2. Для каждой цели обработки определяются:

категории и перечень персональных данных;
категории субъектов данных;
способы и сроки обработки и хранения данных, отражённые в Приложении №1.

5.3. Для каждой цели, указанной в Приложении №1, применяются следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение. Обработка может проводиться с использованием автоматизированных средств или без них, включая передачу данных через информационно-телекоммуникационные сети.

5.4. Обработка специальных категорий данных (состояние здоровья, судимость) допускается в случаях, предусмотренных законодательством РФ.

5.5. Общество не обрабатывает биометрические данные.

5.6. Сроки обработки и хранения определяются с учётом законодательства РФ, условий договора или согласия субъекта и не превышают необходимого времени для достижения целей обработки.

5.7. Прекращение обработки и уничтожение данных осуществляется:

по требованию субъекта;
по требованию Роскомнадзора о недостоверных или незаконно полученных данных;
при выявлении неправомерной обработки;
при отзыве согласия субъекта;
при утрате необходимости обработки;
по достижении целей или истечении срока хранения;
при ликвидации Оператора.

6. Порядок и условия обработки персональных данных

6.1. Обработка данных может включать: сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.

6.2. Сбор данных осуществляется у самого субъекта или его законного представителя.

6.3. Обработка требует согласия субъекта, кроме случаев, предусмотренных законом РФ, таких как:

выполнение функций и обязанностей, возложенных законодательством;
исполнение судебных актов и решений государственных органов;
исполнение полномочий государственных органов и предоставление госуслуг;
заключение и исполнение договора с участием субъекта;
защита жизни и здоровья, если согласие невозможно;
обработка данных, обязательных к публикации по закону.

6.4. При обязательном предоставлении данных или согласия субъекту разъясняются правовые последствия отказа.

6.5. Если данные получены у третьей стороны, субъект уведомляется заранее и предоставляет письменное согласие, включая сведения о:

наименовании и адресе третьей стороны;
цели и правовом основании обработки;
перечне данных;
предполагаемых пользователях;
правах субъекта;
источнике данных.

6.6. Решения, затрагивающие права субъекта, принимаются только при наличии письменного согласия или в случаях, предусмотренных законом.

6.7. Обработка данных для продвижения товаров и услуг возможна только с согласия субъекта.

6.8. Хранение данных осуществляется в информационных системах и на бумажных носителях.

6.9. Бумажные документы и резервные копии хранятся в специально выделенных помещениях с ограниченным доступом.

6.10. Хранение данных осуществляется с обеспечением сохранности и исключением неправомерного использования.

6.11. Все операции с данными выполняются сотрудниками, имеющими соответствующие должностные обязанности.

6.12. Сотрудник, имеющий доступ к данным, обязан:

обеспечить сохранность данных от третьих лиц;
передавать документы и носители лицу, исполняющему его обязанности при длительном отсутствии.

6.13. Передача данных третьим лицам допускается:
6.13.1. органам власти и уполномоченным органам в случаях, установленных законом;
6.13.2. между подразделениями Общества — только сотрудникам с доступом;
6.13.3. представителям субъекта — при наличии подтверждающих документов;
6.13.4. третьим лицам — только с согласия субъекта и на основании договора, включающего обязательства по конфиденциальности;
6.13.5. доступ или обработка данных третьими лицами ограничиваются только необходимыми сведениями для выполнения их функций.

6.14. Трансграничная передача данных не осуществляется.

6.15. Обработка данных граждан РФ ведётся на территории РФ.

6.16. На сайтах Оператора применяются файлы cookie и инструменты аналитики для персонализации, статистики и анализа использования сервисов.

6.17. Файлы cookie сохраняют техническую и служебную информацию о действиях пользователей, включая предпочтения, настройки и историю посещений.

6.18. Файлы cookie необходимы для:

доступа к персонализированным ресурсам;
обратной связи с пользователем;
определения местоположения для безопасности платежей;
подтверждения достоверности данных;
информирования о заказах и обновлениях;
рекламы и предоставления услуг (с согласия пользователя).

6.19. Сбор статистики и аналитическая обработка проводятся в анонимной форме.

6.20. Пользователь может управлять cookie через настройки браузера.

6.21. Файлы cookie уничтожаются по достижении целей обработки или при утрате необходимости.

6.22. Использование сайта подразумевает согласие пользователя с настоящим Положением.

6.23. При отказе от согласия пользователь должен покинуть сайт.

6.24. Положение распространяется только на сайты Оператора; переход по внешним ссылкам не накладывает ответственность на Оператора.

6.25. На сайте применяется система аналитики Яндекс.Метрика для анализа пользовательской активности, согласно условиям:

Политики использования cookie: https://yandex.ru/legal/cookies_policy;
Условий сервиса «Яндекс.Метрика»: https://yandex.ru/legal/metrica_termsofuse;
Политики конфиденциальности: https://yandex.ru/legal/confidential.

6.26. Сервис Calltouch используется для анализа рекламных источников и обратной связи, обрабатывая персональные данные в соответствии с лицензионным договором на право использования программы и политикой конфиденциальности.

7. Права и обязанности субъектов персональных данных и Оператора

7.1. Права субъектов персональных данных

7.1.1. Субъект персональных данных имеет право добровольно предоставлять согласие на обработку своих персональных данных, руководствуясь требованиями Закона о персональных данных к форме и содержанию такого согласия.

7.1.2. Субъект персональных данных вправе получать информацию об обработке своих данных (при личном обращении или письменном запросе), включая:

подтверждение факта обработки;
правовые основания и цели обработки;
цели и методы обработки, применяемые Оператором;
наименование и местонахождение Оператора, сведения о лицах (кроме работников Оператора), имеющих доступ к данным или получающих их на законных основаниях;
перечень обрабатываемых данных, источник их получения, если иной порядок не установлен законом;
сроки обработки и хранения данных;
порядок реализации прав субъекта персональных данных;
сведения о проведённой или планируемой трансграничной передаче данных;
наименование и адрес лица, обрабатывающего данные по поручению Оператора, если такое поручение имеется.

Сведения предоставляются в доступной форме, без раскрытия данных третьих лиц, кроме случаев, предусмотренных законом. Информация передаётся субъекту или его представителю уполномоченным сотрудником в течение 10 рабочих дней с момента обращения. Срок может быть продлён не более чем на 5 рабочих дней при уведомлении субъекта о причинах задержки.

7.1.3. Субъект имеет право требовать уточнения, блокирования или уничтожения своих данных, если они неполные, устаревшие, неточные, получены незаконно или не нужны для заявленной цели обработки.

7.1.4. Субъект может отозвать согласие на обработку данных, включая согласие на получение информационных и рекламных сообщений.

7.1.5. Субъект вправе реализовывать иные права, предусмотренные законодательством РФ.

7.2. Обязанности субъектов персональных данных

7.2.1. Субъекты обязаны:

предоставлять достоверные и актуальные сведения о себе, включая контактные данные;
своевременно сообщать об изменениях в своих данных;
ознакомиться с актуальными версиями юридических документов Общества, доступных на внутренних и внешних ресурсах, включая настоящее Положение обработки персональных данных.

7.3. Обязанности Оператора персональных данных

7.3.1. Общество, как Оператор, обязано:

при сборе данных, в том числе через интернет, обеспечивать запись, систематизацию, накопление, хранение, обновление, извлечение данных граждан РФ в базах на территории РФ (кроме случаев, установленных законом);
публиковать в сети интернет документ о политике обработки данных и требования к их защите, обеспечивая доступ к нему;
разъяснять юридические последствия отказа предоставить данные или согласие на обработку, если это требуется законом;
предоставлять субъекту данные, полученные не от него, до начала обработки, с учетом исключений, предусмотренных законом;
выполнять обязанности при запросах субъектов и/или контролирующих органов;
принимать меры для соблюдения Закона о персональных данных;
обеспечивать безопасность данных при обработке;
устранять нарушения закона и осуществлять уточнение, блокирование или уничтожение данных при необходимости;
выполнять требования закона при прекращении обработки или отзыве согласия субъектом;
взаимодействовать с контролирующими органами по вопросам обработки и защиты данных.

7.4. Права Оператора персональных данных

Оператор вправе:

обрабатывать данные без согласия субъекта в случаях, предусмотренных законом;
передавать данные третьим лицам, государственным и муниципальным органам, учреждениям и фондам, а также поручать обработку данным лицам при наличии правовых оснований;
отказать субъекту в предоставлении сведений в случаях, предусмотренных законом;
самостоятельно определять меры для выполнения обязанностей по закону;
выбирать необходимые правовые, организационные и технические меры для защиты данных, оценивать актуальные угрозы и эффективность принятых мер;
реализовывать иные права, предусмотренные законодательством РФ.

8. Обращения субъектов персональных данных и порядок работы с персональными данными

8.1. В соответствии со статьей 20 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», при обращении субъекта персональных данных или его законного представителя Общество бесплатно предоставляет информацию о наличии персональных данных, относящихся к соответствующему субъекту, а также обеспечивает возможность ознакомления с ними.

8.1.1. Порядок и сроки ответа на обращения субъектов персональных данных устанавливаются в соответствии со статьей 14 Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных».

8.2. Общество вправе отказать субъекту или его представителю в предоставлении информации о наличии персональных данных при обращении или запросе, при этом предоставляется мотивированный ответ с указанием основания отказа согласно ч. 8 ст. 14 Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных» или другому федеральному закону.

8.3. В случае выявления неточностей в персональных данных, по обращению субъекта, его представителя или уполномоченного органа, Общество блокирует соответствующие данные с момента обращения или получения запроса на период проверки, если это не нарушает права субъекта или третьих лиц.

8.4. При подтверждении неточности данных на основании сведений, предоставленных субъектом, его представителем или уполномоченным органом, Общество обязано уточнить данные или обеспечить их уточнение уполномоченным лицом в течение 7 рабочих дней и снять блокирование данных.

8.5. В случае выявления неправомерной обработки данных по обращениям субъекта, его представителя или уполномоченного органа, Общество блокирует соответствующие персональные данные с момента обращения или получения запроса на период проверки.

8.6. Если восстановить правомерность обработки невозможно, Общество обязано уничтожить данные или обеспечить их уничтожение в срок не более 10 рабочих дней с даты выявления нарушения.

8.7. Общество уведомляет субъекта или его представителя о принятых мерах по устранению нарушений или уничтожению данных. Если обращение поступило через уполномоченный орган, уведомление направляется также указанному органу.

8.8. При обнаружении факта неправомерной или случайной передачи, предоставления, распространения или доступа к персональным данным, нарушающей права субъектов:

Оператор уведомляет уполномоченный орган в течение 24 часов о происшествии, причинах, возможном вреде и принятых мерах, а также предоставляет контактное лицо для взаимодействия;
В течение 72 часов предоставляются результаты внутреннего расследования и сведения о лицах, действия которых вызвали инцидент (при наличии).

8.9. При требовании субъекта прекратить обработку данных для продвижения товаров, работ или услуг через прямой контакт, Общество немедленно прекращает их обработку.

8.10. При отзыве согласия на обработку данных Общество прекращает их обработку и уничтожает данные в срок не более 30 дней, если иное не предусмотрено законодательством, архивными нормами или договором.

8.11. При обращении субъекта с требованием прекратить обработку данных Общество прекращает их обработку в срок не более 10 рабочих дней, за исключением случаев, предусмотренных законодательством.

8.12. При утрате необходимости в достижении целей обработки данных Общество уничтожает их в срок не более 30 дней, если иное не предусмотрено законом.

8.13. После достижения целей обработки или истечения сроков хранения данных, Общество уничтожает их в срок не более 30 дней, если иное не установлено законом.

8.14. По достижении максимальных сроков хранения документов, содержащих персональные данные, Общество уничтожает их в срок не более 30 дней, если иное не предусмотрено законодательством.

8.15. Порядок, сроки и способы уничтожения персональных данных устанавливаются локальными нормативными актами Оператора.

9. Конфиденциальность, безопасность и обезличивание персональных данных

9.1. Обеспечение конфиденциальности и безопасности персональных данных
Для защиты персональных данных субъектов и предотвращения неправомерного или случайного доступа, изменения, уничтожения, блокирования, копирования, предоставления и распространения данных Оператор принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие лицом, действующим по его поручению. В частности:

определяется актуальные угрозы безопасности персональных данных и применяются соответствующие меры защиты для установленных уровней защищенности;
используются средства защиты информации, прошедшие оценку соответствия и соответствующие установленным уровням защищенности;
проводится оценка эффективности мер защиты, включая до ввода информационных систем в эксплуатацию;
обеспечивается пропускной режим и управление доступом к персональным данным, техническим средствам и информационным системам;
регистрируются и учитываются все действия с персональными данными в ИСПДн;
ведется учет технических средств и машинных носителей, входящих в состав ИСПДн;
актуализируется перечень лиц с доступом к персональным данным;
реализуются меры по предупреждению, выявлению и ликвидации несанкционированного доступа и последствий компьютерных атак;
обеспечивается восстановление данных, модифицированных или уничтоженных вследствие несанкционированного доступа;
контролируется использование разрешенного программного обеспечения и его обновление;
выявляются инциденты и принимаются меры по их устранению;
проводится контроль за выполнением мер по обеспечению безопасности персональных данных.

Кроме того, проводится оценка возможного вреда субъектам данных при нарушении законодательства и соотношение этого вреда с принимаемыми мерами безопасности.

9.2. Обезличивание персональных данных
9.2.1. Обезличивание данных направлено на минимизацию рисков вреда субъектам персональных данных при утечках из ИСПДн с сохранением возможности их обработки.

9.2.2. Основные свойства обезличенных данных:

полнота, структурированность, релевантность;
семантическая целостность;
применимость для задач обработки;
анонимность, исключающая однозначную идентификацию субъекта без дополнительной информации.

9.2.3. Основные характеристики методов обезличивания:

обратимость, вариативность, изменяемость;
стойкость к идентификации;
возможность косвенного деобезличивания;
совместимость и параметрический объем;
возможность контроля качества данных.

9.2.4. Основные методы обезличивания:

введение идентификаторов;
изменение состава или семантики;
декомпозиция массива данных;
перемешивание записей.

9.2.5. Выбор методов обезличивания зависит от целей обработки, может комбинироваться и осуществляется в соответствии с требованиями Приказа Роскомнадзора № 996 от 05.09.2013, методическими рекомендациями и другими нормами действующего законодательства.

10. Внутренний контроль и ответственность

10.1. Внутренний контроль соблюдения законодательства и локальных нормативных актов Оператора осуществляется ответственным лицом в порядке, установленном локальными актами.

10.2. Лица, нарушившие законодательство РФ или локальные нормативные акты Оператора в области персональных данных, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность.

11. Заключительные положения

11.1. Настоящее Положение вступает в силу с момента утверждения Генеральным директором и действует бессрочно до замены новой редакцией.

11.2. Пересмотр и актуализация Положения проводятся при:

изменении порядка обработки персональных данных;
выявлении несоответствий по результатам проверок органов защиты прав субъектов;
изменении требований законодательства РФ;
выявлении существенных нарушений по результатам внутренних проверок.

11.3. При внесении изменений указывается дата последнего обновления. Новая редакция утверждается приказом Генерального директора.

11.4. Продолжение взаимодействия субъекта персональных данных с Обществом после обновления Положения считается согласием с его действующей редакцией.

Приложение 1. Цели обработки персональных данных

1. Введение

1.1. Настоящее Положение Акционерного общества "Главновосибирскстрой" «Об обработке персональных данных (далее - Положение) разработано во исполнение требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Положение действует в отношении всех персональных данных, которые обрабатывает Акционерное общества "Главновосибирскстрой" (ОГРН 1025402454703, ИНН 5406109142, адрес местонахождения: АО «Главновосибирскстрой» 630091, г. Новосибирск, ул. Каменская, 64а, оф. 114 (далее – Оператор, Общество).

1.3. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящее Положение публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайтах Оператора: https://sibyt.ru/, https://ao-gns.ru/, https://brickstone.su/, https://gns-tender.ru.

1.4. Требования Положения служат основой для разработки локальных нормативных актов, регламентирующих вопросы обработки персональных данных субъектов персональных данных.

1.5 Настоящее Положение действует в отношении всей информации, содержащей персональные данные субъектов персональных данных, которую Общество и/или связанные с ним юридические лица могут получить о субъекте персональных данных при осуществления основной хозяйственной деятельности.

1.6. Обработка персональных данных у Оператора выполняется с использованием средств автоматизации или без использования таких средств. Обработка персональных данных без использования средств автоматизации может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации.

1.7. Положение распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящего Положения.

2. Принципы обработки персональных данных

Организация обработки и защиты персональных данных Оператором, а также реализация процессов, в которых осуществляется обработка персональных данных, производится с учетом общих принципов обработки персональных данных, закрепленных в Законе о персональных данных, которые являются основой соблюдения требований законодательства РФ, обеспечения конфиденциальности и безопасности персональных данных Субъектов персональных данных, а также защиты прав Субъектов персональных данных. Среди таких принципов:

осуществление обработки персональных данных на законной и справедливой основе;
обеспечение ограничения обработки персональных данных заранее определенными и законными целями обработки персональных данных, в том числе недопущение обработки персональных данных, несовместимой с целями сбора (получения) персональных данных;
обработка исключительно тех персональных данных, которые отвечают целям обработки персональных данных;
недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
обеспечение соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки персональных данных, в том числе недопущение обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
обеспечение точности персональных данных, их достаточности и в необходимых случаях актуальности по отношению к целям обработки персональных данных;
осуществление хранения персональных данных в форме, позволяющей определить Субъекта персональных данных не дольше, чем этого требуют цели их обработки, если иной срок хранения персональных данных не установлен Законодательством РФ, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных;
уничтожение или обеспечение уничтожения персональных данных (если обработка персональных данных осуществляется другим лицо, действующим по поручению Банка), по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законодательством РФ.

3. Правовые основания обработки персональных данных

Правовые основания обработки персональных данных Субъектов персональных данных устанавливаются с учетом определенных Законом о персональных данных условий обработки персональных данных. Правовыми основаниями обработки персональных данных, на основании которых допускается обработка персональных данных Оператором, являются:

3.1. Согласие Субъекта персональных данных на обработку персональных данных с учетом требований, предусмотренных Законодательством РФ для соответствующей категории персональных данных;

3.2. Положения нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, включая, но не ограничиваясь:

Конституция Российской Федерации;
Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
Гражданский кодекс Российской Федерации от 30.10.1994 № 51-ФЗ;
Налоговый кодекс Российской Федерации от 31.07.1998 № 146-ФЗ;
Гражданский процессуальный кодекс Российской Федерации от 14.11.2002 N 138-ФЗ;
Арбитражный процессуальный кодекс Российской Федерации от 24.07.2002 N 95-ФЗ;
Кодекс административного судопроизводства Российской Федерации от 08.03.2015 N 21-ФЗ;
Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон Российской Федерации от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
Федеральный закон Российской Федерации от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
Федеральный закон Российской Федерации от 28.12.2003 № 426-ФЗ «О специальной оценке условий труда»;
Федеральный закон Российской Федерации от 07.08.2001 № 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма";
Федеральный закон Российской Федерации от 08.02.1998 № 14-ФЗ "Об обществах с ограниченной ответственностью";
Федеральный закон от 12.12.2023 N 565-ФЗ "О занятости населения в Российской Федерации";
Федеральный закон от 24.11.1995 N 181-ФЗ "О социальной защите инвалидов в Российской Федерации";
Федеральный закон от 25.07.2002 №115-ФЗ "О правовом положении иностранных граждан в Российской Федерации";
Федеральный закон № 400ФЗ от 28.12.2013 "О страховых пенсиях";
Федеральный закон от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации";
Федеральный закон от 29.11.2010 N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации";
Федеральный закон от 29.12.2012 N 273-ФЗ "Об образовании в Российской Федерации";
Федеральный закон от 10.12.1995 N 196-ФЗ "О безопасности дорожного движения";
Закон РФ от 31 05.1996 года № 61-ФЗ «Об обороне»;
Закон РФ от 26.02.1997 года № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации»;
Закон РФ от 28.03.1998 года № 53-ФЗ «О воинской обязанности и военной службе»;
Постановление Правительства Российской Федерации от 27.11.2006 г. № 719 «Об утверждении Положения о воинском учете»;
Постановление Правительства РФ от 21.01.2015 № 29 "Об утверждении Правил сообщения работодателем о заключении трудового или гражданско-правового договора на выполнение работ (оказание услуг) с гражданином, замещавшим должности государственной и муниципальной службы перечень которых устанавливается нормативными правовыми актами Российской Федерации";
Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

3.3. Локальные акты и учредительные документы Оператора.

3.4. Судебные акты, акты другого органа или должностного лица, подлежащие исполнению Банком в соответствии с положениями законодательства РФ об исполнительном производстве.

3.5. Договор, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных, если обработка персональных данных необходима для заключения указанного договора или исполнения обязательств по договору.

3.6. Обеспечение и/или осуществление защиты жизни, здоровья или иных жизненно важных интересов Субъекта персональных данных, если получение согласия Субъекта персональных данных невозможно;

3.7. Соблюдение прав и защита законных интересов Оператора, третьих лиц либо достижение общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта персональных данных.

3.8. Обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством РФ и иными применимыми нормативными правовыми актами РФ.

4. Термины, определения и сокращения

Автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники.

АО «ГНС» - Акционерное общества "Главновосибирскстрой" (ОГРН 1025402454703, ИНН 5406109142, адрес местонахождения: АО «Главновосибирскстрой» 630091, г. Новосибирск, ул. Каменская, 64а, оф. 114.

Безопасность персональных данных – состояние защищенности персональных данных, которое характеризуется способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке.

Биометрические ПДн - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Оператором для установления личности субъекта персональных данных.

Блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн) по требованию Субъекта ПДн или Роскомнадзора.

Информационная система ПДн - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий, и технических средств.

Иные персональные данные – персональные данные, не относящиеся к Специальным категориям персональных данных или к Биометрическим персональным данным.

Контролирующий орган - орган, уполномоченный на осуществление государственного контроля (надзора) за соответствием обработки персональных данных требованиям Законодательства РФ о персональных данных (Роскомнадзор).

Конфиденциальность ПДн - обязанность не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

Личный кабинет - приватная область Сайта, позволяющая зарегистрированному пользователю Сайта получать доступ к истории своих покупок и иных операций, а также хранить и изменять персональные данные, необходимые для совершения заказов.

Материальный носитель ПДн – бумажный, электронный, машинный и прочие носители информации, используемые для воспроизведения (в том числе копирования, скачивания, сохранения, записи) и/или хранения информации, содержащей ПДн, обрабатываемой в автоматизированном виде (с использованием средств вычислительной техники) и не автоматизированном виде (без использования средств вычислительной техники).

Обезличивание - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

Обработка персональных данных без использования средств автоматизации (неавтоматизированная обработка персональных данных) – обработка персональных данных, осуществляемая при непосредственном участии человека.

Оператор ПДн - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

Персональные данные, ПДн - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн).

ПДн, разрешенные субъектом ПДн для распространения - ПДн, доступ неограниченного круга лиц к которым представлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном Законом № 152-ФЗ.

Пользователь - любое физическое лицо, просматривающее страницы Сайта на своем компьютере и/или мобильном устройстве, в т.ч. покупатель Общества, являющийся зарегистрированным пользователем Сайта и имеющий личный кабинет на Сайте.

Предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.

Распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц.

Сайт Общества - официальные сайты АО «Главновосибирскстрой»: https://sibyt.ru/, https://ao-gns.ru/, https://brickstone.su/, https://gns-tender.ru.

Специальные категории ПДн – данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни.

Трансграничная передача ПДн - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Удаление ПДн - изъятие ПДн из информационных систем с сохранением последующей возможности их восстановления.

Уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.

Файлы Сookies - это небольшие фрагменты данных, которые Сайт запрашивает у браузера, используемого на компьютере или мобильном устройстве Посетителя. Cookies отражают предпочтения Пользователя или его действия на Сайте, а также сведения об его оборудовании, дате и времени сессии. Сookies хранятся локально на компьютере или мобильном устройстве Пользователя. Пользователь может удалить сохраненные Сookies в настройках соответствующего браузера.

IP-адрес — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу TCP/IP.

5. Цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки обработки и хранения персональных данных, основания их уничтожения

5.1. Обработка персональных данных Субъектов персональных данных осуществляется Оператором в заранее определенных целях. В зависимости от конкретных целей обработки персональных данных такая обработка может включать в себя, в частности, совершение всех или некоторых из следующих действий (операций) с персональными данными: сбор (получение), запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

5.2. Для каждой цели обработки персональных данных Оператором определены:

соответствующие категории и перечень обрабатываемых персональных данных;
категории Субъектов персональных данных, персональные данные которых обрабатываются Оператором;
способы и сроки обработки и хранения персональных данных;
порядок уничтожения персональных данных.

5.3. Цели обработки персональных данных и соответствующие им категории и перечень обрабатываемых персональных данных, категории Субъектов персональных данных приведены в Приложении 1 к настоящей Политике, являющемся ее неотъемлемой частью.

5.4. Для каждой указанной в Приложении 1 к настоящей Политике цели обработки персональных данных предусмотрены следующие способы обработки персональных данных: автоматизированная обработка персональных данных (с использованием средств вычислительной техники) и неавтоматизированная обработка персональных данных (без использования средств вычислительной техники) с фиксацией персональных данных на материальных носителях. Обработка Оператором персональных данных автоматизированным способом (в ИСПДн) и неавтоматизированным способом осуществляется с соблюдением требований Законодательства РФ и положений внутренних документов Оператора, регламентирующих вопросы обработки и защиты персональных данных. При обработке персональных данных автоматизированном способом Оператор принимает необходимые меры по обеспечению безопасности обрабатываемых персональных данных, в том числе с учетом требований. Обработка персональных данных неавтоматизированном способом, в том числе хранение Материальных носителей персональных данных, осуществляется в помещениях, обеспечивающих их сохранность, с возможностью определить места хранения персональных данных (Материальных носителей) в порядке, предусмотренном Законодательством РФ.

5.5. Сроки обработки и хранения персональных данных для каждой указанной в Приложении 1 к настоящему Положению цели обработки персональных данных устанавливаются с учетом соблюдения требований, в том числе условий обработки персональных данных, определенных Законодательством РФ, и/или с учетом положений договора, стороной которого является субъект персональных данных, и/или согласия Субъекта персональных данных на обработку его персональных данных, при этом обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если иное не установлено Законодательством РФ.

5.6. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости, Оператором не допускается, за исключением случаев, предусмотренных законодательством РФ. В частности, если:

работник Оператора или другой субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных, относящихся к специальным категориям;
получено согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством РФ;
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно.

5.7. Обработка биометрических персональных данных Оператором не осуществляется.

5.8. Трансграничная передача персональных данных Оператором не осуществляется.

5.9. Прекращение обработки и уничтожение персональных данных осуществляется:

по требованию субъекта прекратить обработку его персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи;
по требованию Роскомнадзора об уничтожении недостоверных или полученных незаконным путем персональных данных;
при выявлении неправомерной обработки персональных данных;
при отзыве согласия субъекта персональных данных на обработку его персональных данных, за исключением случаев, предусмотренных Законом о персональных данных;
по требованию субъекта персональных данных прекратить обработку его ПДн, за исключением случаев, предусмотренных Законом о персональных данных;
при утрате необходимости в достижении целей обработки персональных данных;
по достижении целей обработки;
по истечении установленных сроков хранения персональных данных.

6. Права и обязанности субъектов персональных данных и Оператора

6.1. Права субъектов персональных данных:

6.1.1. Свободно, своей волей и в своем интересе предоставлять согласие на обработку персональных данных с учетом требований Закона о персональных данных к форме и содержанию согласий на обработку персональных данных.

6.1.2. Субъекты персональных данных имеют право (при личном обращении или при направлении письменного запроса) на получение информации, касающейся обработки их персональных данных, в том числе содержащей:

подтверждение факта обработки персональных данных;
правовые основания и цели обработки персональных данных;
цели и применяемые оператором способы обработки персональных данных;
наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.

Сведения, указанные выше, должны быть предоставлены субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

Сведения, указанные выше, предоставляются субъекту персональных данных или его представителю уполномоченным должностным лицом Оператора, осуществляющим обработку соответствующих персональных данных, в течение 10 (десяти) рабочих дней с момента обращения либо получения Оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

6.1.3. Субъекты персональных данных вправе требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если, по мнению субъектов персональных данных, данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

6.1.4. Также субъекты персональных данных могут отозвать данное ими согласие на обработку персональных данных, включая согласие на получение информации информационного и/или рекламного характера.

6.1.5. Осуществлять иные права, предусмотренные Законодательством РФ.

6.2. Обязанности субъектов персональных данных

6.2.1 Субъекты персональных данных обязаны:

предоставлять достоверную и актуальную информацию о себе, в том числе актуальные контактные данные, принадлежащие субъекту персональных данных;
своевременно сообщать о необходимости внесения изменений (обновлений, уточнений) в персональные данные;
знакомиться с актуальными версиями юридических документов Общества, публикуемых на внутренних и внешних ресурсах Общества или доступных для ознакомления иным способом, в том числе настоящей Политики, Положения об обработке и защите персональных данных и иных документов Общества.

6.3. Обязанности Оператора персональных данных

6.3.1 Общество, являясь Оператором персональных данных, обязано:

при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных Субъектов персональных данных (граждан РФ) с использованием баз данных, находящихся на территории РФ, за исключением случаев, предусмотренных Законодательством РФ;
при сборе персональных данных с использованием информационно-телекоммуникационных сетей, опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего Банку сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети;
в случае, если предоставление персональных данных и/или согласия на их обработку является обязательным в соответствии с требованиями Законодательства РФ и Субъект персональных данных отказывается предоставить персональные данные и/или предоставить согласие на их обработку, разъяснить юридические последствия непредоставления персональных данных и/или согласия на их обработку;
в случае получения персональных данных не от Субъекта персональных данных до начала обработки персональных данных предоставить Субъекту персональных данных информацию, предусмотренную Законом о персональных данных, с учетом установленных Законодательством РФ исключений;
выполнять обязанности, предусмотренные для Операторов персональных данных, при получении запросов и/или обращений по вопросам персональных данных от Субъекта персональных данных и/или его Представителя (обладающего полномочиями на представление интересов Субъекта персональных данных), и/или от контролирующих органов;
принимать меры, направленные на обеспечение выполнения требований Закона о персональных данных;
принимать меры по обеспечению безопасности персональных данных при их обработке;
выполнять обязанности по устранению нарушений Законодательства РФ, если такие нарушения были допущены при обработке персональных данных, а также выполнять обязанности по уточнению, блокированию, уничтожению персональных данных в случаях, предусмотренных Законодательством РФ;
выполнять обязанности, установленные Законом о персональных данных для Операторов персональных данных, в случае получения от Субъекта персональных данных требования о прекращении обработки персональных данных и/или отзыва согласия на обработку персональных данных;
взаимодействовать с контролирующими органами по вопросам, связанным с обработкой и защитой персональных данных, в случаях, предусмотренных Законом о персональных данных.

6.4. Права Оператора персональных данных

обрабатывать персональные данные Субъектов персональных данных в отсутствие согласия на обработку персональных данных в случаях, предусмотренных Законом о персональных данных;
осуществлять передачу персональных данных Субъектов персональных данных третьим лицам, государственным органам, муниципальным органам власти, государственным учреждениям, государственным внебюджетным фондам, иным лицам (если применимо), а также поручить обработку персональных данных Субъектов персональных данных третьим лицам при наличии соответствующих правовых оснований и соблюдении требований Закона о персональных данных;
отказать Субъекту персональных данных в предоставлении сведений об обработке его персональных данных в случаях, предусмотренных Законом о персональных данных;
самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законодательством РФ;

7. Обработка файлов Сookie

7.1. Общие положения

7.1.1. Просмотр сайта, а также использование его программ и продуктов подразумевают автоматическое согласие Пользователя с настоящим Положением, подразумевающим предоставление Пользователем персональных данных на обработку.

7.1.2. Если Пользователь не принимает настоящее Положение, он должен покинуть сайт.

7.1.3 Настоящее Положение распространяется только на сайты Оператора. Если по ссылкам, размещенным на сайте, Пользователь зайдет на ресурсы третьих лиц, Оператор не несет ответственности за действия третьих лиц.

7.2.2. Информация о файлах Сookie

Обрабатываемые Оператором файлы Сookie - это техническая и служебная информация о посещении сетевого ресурса. Файлы Сookie запоминают информацию о предпочтениях Пользователя и позволяют адаптировать сайт для удобства взаимодействия с ним в течение определенного периода времени.

Файлы Сookie необходимы Оператору в следующих целях:

открыть Пользователю доступ к персонализированным ресурсам Сайта;
установить с Пользователем обратную связь, под которой подразумевается, в частности, рассылка запросов и уведомлений, касающихся использования сайта, обработка пользовательских запросов и заявок, оказание прочих услуг;
определить местонахождение Пользователя, чтобы обеспечить безопасность платежей и предотвратить мошенничество;
подтвердить полноту и достоверность данных, предоставленных Пользователем;
создать учетную запись для совершения Покупок, если Пользователь изъявил на то свое желание;
уведомить пользователя о состоянии его заказа на Сайте;
обрабатывать и получать платежи, подтверждать налог или налоговые льготы, оспаривать платеж, определять, целесообразно ли предоставить конкретному Пользователю товарный кредит;
обеспечить Пользователю максимально быстрое решение проблем, встречающихся при использовании Сайтом, за счет эффективной клиентской и технической поддержки;
своевременно информировать Пользователя об обновлениях, знакомить с уникальными предложениями, новыми прайсами, продукцией, новостями о деятельности Сайта или его партнеров и прочими сведениями, если Пользователь изъявит на то свое согласие;
рекламировать товары, если Пользователь изъявит на то свое согласие;
предоставить Пользователю доступ к сервисам Сайта, помогая ему тем самым получать продукты, обновления и услуги.

Виды файлов Сookie, которые могут быть использованы Оператором:

Сессионные - такие Cookie существуют только во временной памяти в течение времени, когда Посетитель находится на странице Сайта. Браузеры обычно удаляют сессионные Cookie после того, как Посетитель закрывает окно Сайта. Сессионные Cookie позволяют Сайту помнить информацию о выборе Посетителя на предыдущей странице Сайте, чтобы избежать необходимости повторного ввода информации.
Постоянные - Cookie, которые хранятся на компьютере Посетителя и не удаляются при закрытии браузера. Постоянные Cookie могут сохранять пользовательские настройки для Сайта, позволяя использовать эти предпочтения в будущих сеансах просмотра. Такие Cookie позволяют идентифицировать Посетителя как уникального пользователя Сайта, и при возвращении на Сайт помогают вспомнить информацию о Посетителе и ранее совершенных действиях.
Статистические - такие Cookie включают в себя информацию о том, как Посетитель использует Сайт. Например, какие страницы Посетитель посещает, по каким ссылкам переходит. Главная цель таких файлов Cookie — улучшение функций Сайта.
Обязательные - минимальный набор Cookies, использование которых необходимо для корректной работы Сайта.

7.2.3. На Сайте Оператора используется система аналитики Яндекс.Метрика в целях анализа пользовательской активности.

Передача персональных данных посетителей и пользователей сайта Оператора при их обработке в аналитических целях системой аналитики Яндекс.Метрика осуществляется путем их предоставления определенному кругу лиц или открытия санкционированного доступа к ним.

Система аналитики Яндекс.Метрика в аналитических целях обрабатывает персональные данные посетителей в соответствие с:

Политикой использования файлов cookie, размещенной в сети «Интернет» по адресу: https://yandex.ru/legal/cookies_policy;
Условиями использования сервиса «Яндекс.Метрика», размещенными в сети «Интернет» по адресу: https://yandex.ru/legal/metrica_termsofuse;
Политикой конфиденциальности, размещенной в сети «Интернет» по адресу: https://yandex.ru/legal/confidential.

Система аналитики Яндекс.Метрика размещает постоянный файл Сookie в клиентском веб-браузере для идентификации посетителя сайта Оператора в качестве уникального пользователя при следующем посещении данного сайта. Этот файл Сookie не может использоваться никем, кроме системы аналитики Яндекс.Метрика. Сведения, собранные с помощью файла Сookie, будут передаваться для хранения на серверы Яндекс (119021, Россия, Москва, ул. Л. Толстого, д. 16).

7.2.4. На Сайте Оператора используется сервис аналитики и обратного звонка Calltouch в целях определения рекламных источников, которые привели на сайт посетителей, совершивших обращения.

Система аналитики и обратного звонка Calltouch в аналитических целях обрабатывает персональные данные посетителей в соответствие с:

Лицензионным Договором-офертой № SL 65/1/050322 от 05.03.2022 г. с ООО «Колтач Солюшнс» ИНН 7703388936;
Политикой в отношении обработки персональных данных ООО «Колтач Солюшнс», размещенной в сети Интернет по адресу: https://www.calltouch.ru/privacy_policy.pdf;
Политикой использования файлов cookie, размещенной в сети Интернет по адресу: https://www.calltouch.ru/upload/documents/cookie-policy.pdf

Функции данного сервиса:

функции динамического коллтрекинга (определение пользовательских сессий на сайте Оператора с целью получения информации о рекламном источнике обращения и истории посещений пользователем сайта Оператора при помощи подмены телефонных номеров на сайте с привязкой к каждому единовременному посетителю сайта);
функции статического коллтрекинга (определение рекламных источников, которые приводят обращения от посетителей сайта Оператора при помощи подмены телефонных номеров на сайте с привязкой отдельных телефонных номеров к определенным Оператором рекламным источникам);
функции динамического обратного звонка (определение времени показа сообщения посетителю сайта Оператора на основе статистических данных, аналитическая обработка голосового трафика с целью определения рекламного источника обращения);
функции автоматического определения типа обращения (определение типа обращения, заданного Оператором, на основании аналитической обработки голосового трафика, заявок с сайта и обращений через формы коммуникации на сайте Оператора);
функция автоматического определения признаков нецелевого обращения (определение признаков сомнительных обращений, поступающих Оператору, на основании автоматического анализа параметров посетителей сайта, характеристик телефонных номеров);
функции сбора статистики (определение и анализ пользовательских сессий на сайте оператора с целью получения информации о рекламном источнике, который привел пользователя, действиях пользователя, совершенных на сайте, и истории посещений пользователем сайта оператора);
функция автоматического распознавания ответа при использовании функции динамического обратного звонка (автоматическое определение ответа при совершении обратного звонка с использованием API для установки успешного соединения между оператором связи и клиентом Оператора);
функция «интеграционный модуль с 1С» (предоставление доступа к модулю для осуществления интеграции программного обеспечения Оператора и аккаунта, предоставленного Лицензиаром).

8. Порядок и условия обработки персональных данных

8.1. Сбор ПДн

8.1.1. Сбор ПДн осуществляется непосредственно у самого субъекта ПДн или от законных представителей субъектов, наделенных соответствующими полномочиями.

8.1.2. Сбор и обработка ПДн субъекта осуществляется только при условии получения предварительного согласия на это субъекта.

8.1.3. Без согласия субъектов осуществляется обработка ПДн в следующих случаях:

обработка ПДн необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;
обработка ПДн необходима для осуществления правосудия, для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;
обработка ПДн необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов РФ, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта ПДн на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

8.1.4. Если в соответствии с законодательством Российской Федерации предоставление ПДн и (или) получение Обществом согласия на обработку ПДн являются обязательными, Общество разъясняет субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку.

8.1.5. Если ПДн субъекта возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Общество должно сообщить субъекту:

наименование и адрес такого третьего лица;
цель обработки ПДн и ее правовое основание;
перечень ПДн;
предполагаемые пользователи ПДн;
установленные законодательством о ПДн права субъекта ПДн;
источник получения ПДн.

8.1.6. Решение, порождающее юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, может быть принято на основании смешанной обработки его ПДн только при наличии согласия в письменной форме субъекта ПДн или в случаях, предусмотренных законодательством Российской Федерации, устанавливающими меры по обеспечению соблюдения прав и законных интересов субъекта ПДн.

8.1.7. Общество осуществляет обработку персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем, в том числе, с помощью средств связи, с согласия субъектов персональных данных.

8.2. Хранение ПДн

8.2.1. Хранение ПДн осуществляется в информационных системах Общества и на бумажных носителях.

8.2.2. В целях обеспечения сохранности и конфиденциальности ПДн все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только сотрудниками Общества, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных регламентах.

8.2.3. Документы на бумажных носителях, резервные копии без данных информационных систем хранятся в специально выделенных помещениях Общества, доступ к которым предоставляется работникам в соответствии с должностными обязанностями.

8.2.4. Хранение ПДн должно происходить в порядке, исключающем их утрату или неправомерное использование.

8.2.5. Сотрудник, имеющий доступ к ПДн в связи с исполнением трудовых обязанностей:

обеспечивает хранение информации, содержащей ПДн, исключающее доступ к ним третьих лиц;
при уходе в отпуск, нахождении в служебной командировке и иных случаях длительного отсутствия сотрудника на своем рабочем месте он обязан передать документы и иные носители, содержащие ПДн, лицу, на которое приказом или распоряжением Управления будет возложено исполнение его обязанностей.

8.3. Условия передачи ПДн третьим лицам

8.3.1. Предоставление ПДн органам государственной власти, органам местного самоуправления, а также иным уполномоченным органам допускается в случаях и на основаниях, предусмотренных законодательством Российской Федерации.

8.3.2. Передача ПДн между подразделениями Общества осуществляется только между работниками, имеющими доступ к ПДн субъектов.

8.3.3. Представителю субъекта ПДн субъекта предоставляются в порядке, установленном действующим законодательством Российской Федерации, при наличии документов, подтверждающих полномочия представителя, и документов, удостоверяющих личность представителя.

8.3.4. Передача ПДн субъекта третьему лицу осуществляется только с согласия субъекта ПДн. В согласии субъекта ПДн указывается сведения о третьем лице (третьих лицах), которому (которым) передаются ПДн, а также цель передачи ПДн и объем передаваемых ПДн.

8.3.5. Передача ПДн или поручение обработки ПДн третьему лицу осуществляется на основании договора, существенными условиями которого являются соблюдение третьим лицом конфиденциальности и обеспечение безопасности ПДн в соответствии с требованиями Законодательства о ПДн.

8.3.6. При передаче ПДн третьим лицам, которые на основании договоров получают доступ или осуществляют обработку ПДн, Общество ограничивает эту информацию только теми ПДн, которые необходимы для выполнения указанными лицами их функций (услуг, работ).

8.4. Уточнение, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

8.4.1. В соответствии со ст. 20 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», при обращении субъекта персональных данных или его законного представителя, Общество на безвозмездной основе предоставляет им информацию о наличии персональных данных, относящихся к соответствующему субъекту ПДн, а также предоставляет субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту ПДн.

8.4.2. Общество имеет право отказать в предоставлении информации о наличии ПДн о соответствующем субъекте ПДн или персональных данных субъекту ПДн или его представителю при их обращении либо при получении запроса субъекта ПДн или его представителя, при этом предоставив мотивированный ответ, содержащий ссылку на положение ч.8 ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа.

8.4.3. В случае выявления неправомерной обработки ПДн при обращении либо по запросу субъекта ПДн или его представителя, либо уполномоченного органа по защите прав субъектов ПДн Общество осуществляет блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн с момента такого обращения или получения указанного запроса на период проверки.

8.4.4. В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Общество осуществляет блокирование персональных данных, относящихся к этому субъекту ПДн, с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.

8.4.5. В случае подтверждения факта неточности персональных данных Общество на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязано уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

8.4.6. В случае выявления неправомерной обработки ПДн, осуществляемой Обществом или лицом, действующим по его поручению, Общество в срок, не превышающий трех рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Общества.

8.4.7. В случае, если обеспечить правомерность обработки ПДн невозможно, Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, обязано уничтожить такие ПДн или обеспечить их уничтожение.

8.4.8. Об устранении допущенных нарушений или об уничтожении персональных данных Общество обязано уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.

8.4.9. В случае подтверждения факта неточности ПДн или неправомерности их обработки, ПДн подлежат их актуализации, а обработка прекращается, соответственно.

8.4.10. В случае обращения субъекта с требованием прекратить обработку его ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи, Общество незамедлительно прекращает их обработку.

8.4.11. В случае отзыва субъектом согласия на обработку его ПДн Общество прекращает такую обработку и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожает ПДн в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено законодательством Российской Федерации, нормами архивного хранения документов, содержащих ПДн, а также договором стороной которого является субъект.

8.4.12. В случае обращения субъекта ПДн с требованием о прекращении обработки ПДн Общество в срок, не превышающий 10 (десяти) рабочих дней с даты получения соответствующего требования, прекращает их обработку, за исключением случаев, предусмотренных законодательством Российской Федерации.

8.4.13. В случае утраты необходимости в достижении целей Общество уничтожает обрабатываемые ПДн в срок, не превышающий 30 (тридцати) дней, если иное не предусмотрено законодательством Российской Федерации.

8.4.14. В случае достижения целей обработки ПДн, а также по истечении установленных сроков хранения ПДн Общество уничтожает обрабатываемые ПДн в срок, не превышающий 30 (тридцати) дней, если иное не предусмотрено законодательством Российской Федерации.

8.5. Обезличивание персональных данных

8.5.1. Обезличивание персональных данных является одной из мер, направленных на минимизацию рисков причинения вреда субъектам ПДн в случае утечки их ПДн из ИСПДн с сохранением возможности их обработки.

8.5.2. К свойствам обезличенных данных относятся:

полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);
структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);
релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);
семантическая целостность (сохранение семантики персональных данных при их обезличивании);
применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных без предварительного деобезличивания всего объема записей о субъектах);
анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).

8.5.3. К характеристикам (свойствам) методов обезличивания персональных данных (далее – методы обезличивания), определяющим возможность обеспечения заданных свойств обезличенных данных, относятся:

обратимость (возможность преобразования, обратного обезличиванию (деобезличивание), которое позволит привести обезличенные данные к исходному виду, позволяющему идентифицировать субъекта персональных данных);
вариативность (возможность внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных);
изменяемость (возможность внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания);
стойкость (стойкость метода к атакам на идентификацию субъекта персональных данных);
возможность косвенного деобезличивания (возможность проведения деобезличивания с использованием информации других операторов);
совместимость (возможность интеграции персональных данных, обезличенных различными методами);
параметрический объем (объем дополнительной (служебной) информации, необходимой для реализации метода обезличивания и деобезличивания);
возможность оценки качества данных (возможность проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям).

8.5.4. Методы обезличивания:

метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);
метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);
метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);
метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных).

8.5.5. При выборе методов и процедур обезличивания персональных данных Оператору следует руководствоваться целями и задачами обработки персональных данных.

8.5.6. Обезличивание персональных данных, обработка которых осуществляется с разными целями, может осуществляться разными методами.

8.5.7. Возможно объединение различных методов обезличивания в одну процедуру.

8.5.8. Обезличивание производится методами и в соответствие с требованиями, утвержденными Приказом Роскомнадзора от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных", а также Методическими рекомендациями по его применению, иными нормами действующего законодательства, подзаконных актов и локальных актов.

9. Локализация персональных данных

Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ.

10. Обеспечение конфиденциальности и безопасности персональных данных

Для обеспечения конфиденциальности и безопасности персональных данных Субъектов персональных данных, защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии с Законом о персональных данных Оператором принимаются необходимые правовые, организационные и технические меры или обеспечивается их принятие (если обработка персональных данных осуществляется лицом, действующим по поручению Оператора). В частности, принимаются следующие меры:

определяются актуальные угрозы безопасности персональных данных, обрабатываемых в ИСПДн, и применяются соответствующие организационные и технические меры защиты для установленных уровней защищенности персональных данных;
для нейтрализации актуальных угроз безопасности персональных данных применяются средства защиты информации, соответствующие уровням защищенности персональных данных и прошедшие в установленном порядке процедуру оценки соответствия;
проводится оценка эффективности принимаемых/реализованных мер защиты и обеспечения безопасности персональных данных, в том числе до ввода информационных систем в эксплуатацию (оценка может проводиться самостоятельно и/или с привлечением на договорной основе юридических лиц, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации);
обеспечиваются пропускной режим и управление доступом к персональным данным, техническим средствам, используемым при обработке персональных данных, средствам защиты информации, средствам обеспечения функционирования информационных систем;
обеспечиваются регистрация и учет всех действий, совершаемых с персональными данными в ИСПДн;
осуществляется организация учета технических средств, входящих в состав ИСПДн, а также машинных носителей;
определяется и при необходимости актуализируется перечень лиц, которым для выполнения трудовых обязанностей необходим доступ к персональным данным, обработка которых производится в ИСПДн;
реализуются меры, направленные на предупреждение и обнаружение фактов несанкционированного доступа к персональным данным, и принятие мер, в том числе мер по предупреждению, обнаружению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них;
обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним, обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
осуществляется эксплуатация разрешенного к использованию программного обеспечения и/или его компонентов, а также обеспечивается контроль за его установкой и обновлением;
осуществляется выявление инцидентов и реагирование на них, реализуются меры по устранению инцидентов в случае их появления;
реализуется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПДн.

Помимо этого, проводится оценка вреда, который может быть причинен Субъектам персональных данных в случае нарушения Закона о персональных данных, а также соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных.

11. Внутренний контроль соответствия обработки персональных данных положениям Закона о защите персональных данных и принятых в соответствии с ним нормативных правовых актов, требованиям к защите персональных данных, настоящей Политике и локальным нормативным актам Оператора

11.1. Внутренний контроль соответствия обработки персональных данных положениям Закона о защите персональных данных и принятых в соответствии с ним нормативных правовых актов, требованиям к защите персональных данных, настоящей Политике и локальным нормативным актам Оператора осуществляется лицом, ответственным за организацию обработки персональных данных Оператора, в порядке, определенном локальными нормативными актами Оператора в области персональных данных.

11.2. Лица, виновные в нарушении положений законодательства Российской Федерации и локальных нормативных актов Оператора в области персональных данных, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации.

12. Заключительные положения

12.1. Настоящее Положение вступает в силу с момента его утверждения Директором Завода «Сибит» и действует бессрочно до замены ее новым документом (новой редакцией Положения).

12.2. Общество проводит пересмотр настоящего Положения и его актуализацию по мере необходимости, в частности:

при изменении порядка обработки персональных данных в Обществе;
по результатам проверок органа по защите прав субъектов персональных данных, выявившим несоответствия требованиям законодательства РФ по обеспечению безопасности персональных данных;
при изменении требований законодательства РФ в области персональных данных к порядку обработки и обеспечению безопасности персональных данных;
в случае выявления существенных нарушений по результатам внутренних проверок системы защиты персональных данных.

12.3. При внесении изменений в настоящее Положение указывается дата последнего обновления. Новая редакция вводится в действие приказом Директора Завода «Сибит» или иных уполномоченных представителей Общества.

12.4. Субъект персональных данных соглашается с положениями действующей в это время редакцией настоящего Положение, если продолжает каким-либо образом взаимодействовать с Обществом.

Приложение 1. Цели обработки персональных данных