Положение об обработке персональных данных

1. Общие положения

1.1. Настоящее Положение Акционерного общества "Левобережный песчаный карьер" «Об обработке персональных данных (далее - Положение) разработано во исполнение требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Положение действует в отношении всех персональных данных, которые обрабатывает Акционерное общество " Левобережный песчаный карьер " (ОГРН 1025404349893, ИНН 5433146658, КПП 540601001, адрес местонахождения: 630091, НОВОСИБИРСКАЯ ОБЛАСТЬ, Г. НОВОСИБИРСК, УЛ. КАМЕНСКАЯ, Д. 64А, ОФИС 106 (далее – Оператор, Общество)) в соответствии с Приложением № 1 к настоящему Положению.

1.3. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящее Положение публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора: https://лпк.сайт.

1.4. Настоящее Положение действует в отношении всей информации, содержащей персональные данные субъектов персональных данных, которую Общество и/или связанные с ним юридические лица могут получить о субъекте персональных данных при осуществления основной хозяйственной деятельности.

1.5. Обработка персональных данных у Оператора осуществляется как автоматизированным, так и неавтоматизированным способом.

1.6. Требования к процессу обработки персональных данных:

• осуществление обработки персональных данных на законной и справедливой основе;

• обеспечение ограничения обработки персональных данных заранее определенными и законными целями обработки персональных данных, в том числе недопущение обработки персональных данных, несовместимой с целями сбора (получения) персональных данных;

• обработка исключительно тех персональных данных, которые отвечают целям обработки персональных данных;

• недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

• обеспечение соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки персональных данных, в том числе недопущение обработки персональных данных, избыточных по отношению к заявленным целям их обработки;

• обеспечение точности персональных данных, их достаточности и в необходимых случаях актуальности по отношению к целям обработки персональных данных;

• осуществление хранения персональных данных в форме, позволяющей определить Субъекта персональных данных не дольше, чем этого требуют цели их обработки, если иной срок хранения персональных данных не установлен Законодательством РФ, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных;

• уничтожение или обеспечение уничтожения персональных данных (если обработка персональных данных осуществляется другим лицо, действующим по поручению Банка), по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законодательством РФ.

2. Термины, определения и сокращения

Автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники.

Безопасность персональных данных – состояние защищенности персональных данных, которое характеризуется способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке.

Биометрические ПДн - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Оператором для установления личности субъекта персональных данных.

Блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн) по требованию Субъекта ПДн или Роскомнадзора.

Запись ПДн- внесение данных в базу данных или иной реестр.

Извлечение- получение структурированных ПДн из массивов данных для дальнейшего использования.

Использование- любые операции с данными, направленные на достижение целей их обработки

Информационная система ПДн - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий, и технических средств.

Иные персональные данные – персональные данные, не относящиеся к Специальным категориям персональных данных или к Биометрическим персональным данным.

Контролирующий орган -орган, уполномоченный на осуществление государственного контроля (надзора) за соответствием обработки персональных данных требованиям Законодательства РФ о персональных данных (Роскомнадзор).

Конфиденциальность ПДн - обязанность не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

Личный кабинет- приватная область Сайта, позволяющая зарегистрированному пользователю Сайта получать доступ к истории своих покупок и иных операций, а также хранить и изменять персональные данные, необходимые для совершения заказов.

Материальный носитель ПДн – бумажный, электронный, машинный и прочие носители информации, используемые для воспроизведения (в том числе копирования, скачивания, сохранения, записи) и/или хранения информации, содержащей ПДн, обрабатываемой в автоматизированном виде (с использованием средств вычислительной техники) и не автоматизированном виде (без использования средств вычислительной техники).

Накопление ПДн- сбор и систематизация ПДн, их объединение в единую базу данных.

Обезличивание-действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

Обработка персональных данных без использования средств автоматизации (неавтоматизированная обработка персональных данных) – обработка персональных данных, осуществляемая при непосредственном участии человека.

Оператор ПДн - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

Передача ПДн — обобщенное понятие, включающее распространение, предоставление и доступ к ПДн:

распространение — действия, направленные на раскрытие ПДн неопределенному кругу лиц.

предоставление — действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.

доступ — возможность получения ПДн конкретным лицом или кругом лиц.

Персональные данные, ПДн - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн).

ПДн, разрешенные субъектом ПДн для распространения,- ПДн, доступ неограниченного круга лиц к которым представлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном Законом о защите персональных данных.

Пользователь- любое физическое лицо, просматривающее страницы Сайта на своем компьютере и/или мобильном устройстве, в т.ч. покупатель Общества, являющийся зарегистрированным пользователем Сайта и имеющий личный кабинет на Сайте;

Предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.

Распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц.

Сайт Общества- официальный сайт Оператора: https://лпк.сайт

Сбор ПДн- получение персональных данных от субъекта или иных лиц.

Систематизация ПДн- действия, направленные на объединение и расположение ПДн в определенной последовательности, например, путем внесения в базы данных.

Специальные категории ПДн – данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни.

Трансграничная передача ПДн - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Удаление ПДн - изъятие ПДн из информационных систем с сохранением последующей возможности их восстановления.

Уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.

Уточнение ПДн (обновление, изменение) - действия по приведению данных в актуальное и соответствующее действительности состояние.

Файлы сookies - это небольшие фрагменты данных, которые Сайт запрашивает у браузера, используемого на компьютере или мобильном устройстве Посетителя. Cookies отражают предпочтения Пользователя или его действия на Сайте, а также сведения об его оборудовании, дате и времени сессии. Сookies хранятся локально на компьютере или мобильном устройстве Пользователя. Пользователь может удалить сохраненные сookies в настройках соответствующего браузера.

Хранение ПДн- обеспечение целостности, конфиденциальности и доступности ПДн.

IP-адрес — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу TCP/IP.

3. Правовые основания обработки персональных данных

3.1. Правовые основания обработки персональных данных Субъектов персональных данных устанавливаются с учетом определенных Законом о персональных данных условий обработки персональных данных. Правовыми основаниями обработки персональных данных, на основании которых допускается обработка персональных данных Оператором, являются:

• Конституция Российской Федерации;

• Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;

• Гражданский кодекс Российской Федерации от 30.10.1994 № 51-ФЗ;

• Налоговый кодекс Российской Федерации от 31.07.1998 № 146-ФЗ;

• Гражданский процессуальный кодекс Российской Федерации от 14.11.2002 N 138-ФЗ;

• Арбитражный процессуальный кодекс Российской Федерации от 24.07.2002 N 95-ФЗ;

• Кодекс административного судопроизводства Российской Федерации от 08.03.2015 N 21-ФЗ;

• Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;

• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

• Федеральный закон Российской Федерации от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

• Федеральный закон Российской Федерации от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;

• Федеральный закон Российской Федерации от 28.12.2003 № 426-ФЗ «О специальной оценке условий труда»;

Федеральный закон от 26.12.1995 N 208-ФЗ "Об акционерных обществах";

• Федеральный закон от 12.12.2023 N 565-ФЗ "О занятости населения в Российской Федерации";

• Федеральный закон от 24.11.1995 N 181-ФЗ "О социальной защите инвалидов в Российской Федерации";

• Федеральный закон от 25.07.2002 №115-ФЗ "О правовом положении иностранных граждан в Российской Федерации";

• Федеральный закон № 400ФЗ от 28.12.2013 "О страховых пенсиях"

• Федеральный закон от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации";

• Федеральный закон от 29.11.2010 N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации";

• Федеральный закон от 29.12.2012 N 273-ФЗ "Об образовании в Российской Федерации";

• Федеральный закон от 10.12.1995 N 196-ФЗ "О безопасности дорожного движения";

• Закон РФ от 31 05.1996 года № 61-ФЗ «Об обороне»;

• Закон РФ от 26.02.1997 года № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации»;

• Закон РФ от 28.03.1998 года № 53-ФЗ «О воинской обязанности и военной службе»;

• Постановление Правительства Российской Федерации от 27.11.2006 г. № 719 «Об утверждении Положения о воинском учете»;

• Постановление Правительства РФ от 21.01.2015 № 29 "Об утверждении Правил сообщения работодателем о заключении трудового или гражданско-правового договора на выполнение работ (оказание услуг) с гражданином, замещавшим должности государственной и муниципальной службы перечень которых устанавливается нормативными правовыми актами Российской Федерации";

• Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

3.2. Правовым основанием обработки персональных данных также являются:

• Локальные акты и учредительные документы Оператора

• Договор, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных, если обработка персональных данных необходима для заключения указанного договора или исполнения обязательств по договору.

• Согласие субъектов ПДн на обработку их ПДн

Осуществление прав и законных интересов оператора или третьих лиц;

Защита жизни, здоровья или иных жизненно важных интересов

4. Цели обработки персональных данных

4.1. Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.

4.2. Цели обработки ПДн определены деятельностью Общества в соответствии с уставом Общества.

4.3. Оператор обрабатывает персональные данные субъектов в следующих целях:

Подбор персонала

Обеспечение соблюдения трудового законодательства РФ

Подготовка, заключение, исполнение и прекращение гражданско-правового договора, в том чисел при использовании сайта Оператора

Осуществление досудебной и судебной работы

Исполнение судебных актов

Обеспечение пропускного режима

Продвижение товаров на рынке

Подготовка и выдача доверенностей

Взаимодействие с государственными органами, в том числе контролирующими

Обучение работников и повышение квалификации

Техническая поддержка

Создание и обеспечение функционирования внутренних публичных источников ПДн (справочников) внутри Общества

В целях исполнения Федерального закона от 26.12.1995 N 208-ФЗ «Об акционерных обществах», а также иных смежных требований законодательства

Прием и обработка почтовой корреспонденции

Организация участия работников во внутрикорпоративных мероприятиях

Реализация функций по поддержке и развитию клиентских отношений, включая сервисную поддержку, коммуникацию и формирование публичного имиджа компании.

(Приложение N 1).

5. Категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы обработки, сроки обработки и хранения персональных данных, условия прекращения обработки персональных данных.

5.1. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки, предусмотренным в Приложении № 1 к настоящему Положению. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.

5.2. Для каждой цели обработки персональных данных Оператором определены:

• соответствующие категории и перечень обрабатываемых персональных данных

• категории субъектов персональных данных, персональные данные которых обрабатываются Оператором

• способы и сроки обработки персональных данных, которые указаны в Приложении № 1 к настоящему Положению.

5.3. Для каждой цели, указанной в Приложении 1 к настоящему Положению, осуществляется обработка ПДн с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

Оператор может осуществлять обработку ПДн путем передачи информации по информационно-телекоммуникационным сетям.

5.4. Обработка специальных категорий персональных данных, касающихся состояния здоровья, судимости Оператором допускается в случаях, предусмотренных законодательством РФ. В частности, если:

обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством РФ;

в соответствии с законодательством Российской Федерации об обязательных видах страхования и со страховым законодательством;

обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;

для установления или осуществления прав субъекта ПДн или третьих лиц, а равно и в связи с осуществлением правосудия.

5.5. Оператор не осуществляет обработку биометрических ПДн.

5.6. Сроки обработки персональных данных для каждой указанной в Приложении 1 к настоящему Положению цели обработки персональных данных устанавливаются с учетом соблюдения требований, в том числе условий обработки персональных данных, определенных Законодательством РФ, и/или с учетом положений договора, стороной, выгодоприобретателем или поручителем по которому выступает Субъект персональных данных, и/или согласия Субъекта персональных данных на обработку его персональных данных, при этом обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если иное не установлено Законодательством РФ.

5.7. Прекращение обработки и уничтожение персональных данных осуществляется:

- по требованию субъекта прекратить обработку его персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи;

- по требованию Роскомнадзора об уничтожении недостоверных или полученных незаконным путем персональных данных;

- при выявлении неправомерной обработки персональных данных;

- при отзыве согласия субъекта персональных данных на обработку его персональных данных, за исключением случаев, предусмотренных Законом о персональных данных;

- по требованию субъекта персональных данных прекратить обработку его ПДн, за исключением случаев, предусмотренных Законом о персональных данных;

- при утрате необходимости в достижении целей обработки персональных данных;

- по достижении целей обработки;

- по истечении установленных сроков хранения персональных данных.

6. Порядок и условия обработки персональных данных

В зависимости от конкретных целей обработки персональных данных такая обработка может включать в себя, в частности, совершение всех или некоторых из следующих действий (операций) с персональными данными: сбор (получение), запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

6.1. Сбор ПДн осуществляется непосредственно у самого субъекта ПДн или от законных представителей субъектов, наделенных соответствующими полномочиями.

6.2. Сбор и обработка ПДн субъекта осуществляется только при условии получения предварительного согласия на это субъекта.

6.3. Без согласия субъектов осуществляется обработка ПДн в следующих случаях:

• обработка ПДн необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;

• обработка ПДн необходима для осуществления правосудия, для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;

• обработка ПДн необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов РФ, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта ПДн на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

• обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

• обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

• осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

6.4. Если в соответствии с законодательством Российской Федерации предоставление ПДн и (или) получение Обществом согласия на обработку ПДн являются обязательными, Общество разъясняет субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку.

6.5. Если ПДн субъекта возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Общество должно сообщить субъекту:

- наименование и адрес такого третьего лица;

- цель обработки ПДн и ее правовое основание;

- перечень ПДн;

- предполагаемые пользователи ПДн;

- установленные законодательством о ПДн права субъекта ПДн;

- источник получения ПДн.

6.6. Общество осуществляет обработку персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем, в том числе, с помощью средств связи, с согласия субъектов персональных данных.

6.7. Хранение ПДн осуществляется в информационных системах Общества и на бумажных носителях.

6.8. Бумажные документы с персональными данными должны храниться в запираемых шкафах, доступ к которым имеют только уполномоченные лица. Помещение должно быть защищено от несанкционированного доступа.БуПри цифровом хранении (в ИСПДн) применяются защищённые серверы, антивирусная защита, контроль доступа, аутентификация пользователей.

6.9 Хранение ПДн должно происходить в порядке, исключающем их утрату или неправомерное использование. Срок хранения ПДн, обрабатываемых в ИСПДн, соответствует сроку хранения ПДн на бумажных носителях.

6.10. В целях обеспечения сохранности и конфиденциальности ПДн все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только сотрудниками Общества, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.

6.11. Сотрудник, имеющий доступ к ПДн в связи с исполнением трудовых обязанностей:

• обеспечивает хранение информации, содержащей ПДн, исключающее доступ к ним третьих лиц;

• при уходе в отпуск, нахождении в служебной командировке и иных случаях длительного отсутствия сотрудника на своем рабочем месте он обязан передать документы и иные носители, содержащие ПДн, лицу, на которое будет возложено исполнение его обязанностей.

6.12. Условия передачи ПДн третьим лицам.

Передача персональных данных (ПД) разрешена только с письменного согласия субъекта данных или на основании прямого указания в федеральном законе. В согласии субъекта ПДн указывается сведения о третьем лице (третьих лицах), которому (которым) передаются ПДн, а также цель передачи ПДн и объем передаваемых ПДн.

Предоставление ПДн органам государственной власти, органам местного самоуправления, а также иным уполномоченным органам допускается в случаях и на основаниях, предусмотренных законодательством Российской Федерации.

Передача ПДн между подразделениями Общества осуществляется только между работниками, имеющими доступ к ПДн субъектов.

Представителю субъекта ПДн субъекта предоставляются в порядке, установленном действующим законодательством Российской Федерации, при наличии документов, подтверждающих полномочия представителя, и документов, удостоверяющих личность представителя.

Поручение обработки ПДн третьему лицу осуществляется на основании договора, существенными условиями которого являются соблюдение третьим лицом конфиденциальности и обеспечение безопасности ПДн в соответствии с требованиями законодательства о ПДн.

При передаче ПДн третьим лицам, которые на основании договоров получают доступ или осуществляют обработку ПДн, Общество ограничивает эту информацию только теми ПДн, которые необходимы для выполнения указанными лицами их функций (услуг, работ).

6.13. Трансграничная передача персональных данных Оператором не осуществляется.

6.14. Общество осуществляет обработку персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ.

6.15. На информационных ресурсах Оператора могут обрабатываться файлы cookie и применяться инструменты аналитики данных, внесенные в реестр российского программного обеспечения, для статистического анализа использования сервисов.

6.16. Цели сбора файлов cookie:

• открыть Пользователю доступ к персонализированным ресурсам Сайта;

• установить с Пользователем обратную связь, под которой подразумевается, в частности, рассылка запросов и уведомлений, касающихся использования сайта, обработка пользовательских запросов и заявок, оказание прочих услуг;

• определить местонахождение Пользователя, чтобы обеспечить безопасность платежей и предотвратить мошенничество;

• подтвердить полноту и достоверность данных, предоставленных Пользователем;

• уведомить пользователя о состоянии его заказа на Сайте;

• обеспечить Пользователю максимально быстрое решение проблем, возникающих при использовании Сайтом, за счет эффективной клиентской и технической поддержки;

• предоставить Пользователю доступ к сервисам Сайта, помогая ему тем самым получать продукты, обновления и услуги.

6.17. К файлам сookie относятся: псевдоним (идентификатор) пользователя, адрес пользователя или адрес устройства пользователя и его технические характеристики, посредством которого пользователь зашел на сайт Общества и (или) установил соединение с интернет-сервисом Общества, используемая операционная система на устройстве пользователя, версия операционной системы, а также сведения о пользователе, включающие IP-адрес, поисковые запросы пользователя, информацию об используемом браузере и языке, даты и время доступа к сайту, интернет-адреса веб-страниц, посещаемых пользователем, тематику информации, размещенной на посещаемых пользователем информационных ресурсах Общества, идентификатор устройства, географическое положение, количество просмотренных страниц, длительность пребывания на сайте Общества, запросы, которые пользователь использовал при переходе на сайт, страницы, с которых были совершены переходы, идентификатор сессии, время авторизации/регистрации, и любая информация, не позволяющая однозначно идентифицировать пользователя или конкретное физическое лицо, для предоставления пользователю рекламной и аналитической информации.

6.18. Общество проводит анализ использования информационных ресурсов и получения исходных данных для улучшения сервисов, предлагаемых Обществом. Полученная при этом информация передается в анонимной форме на сервер службы веб-аналитики, хранится и обрабатывается там.

6.19. Параметрами использования файлов cookie пользователь электронных ресурсов может управлять самостоятельно в настройках своего браузера.

6.20. Срок хранения файлов cookie.

Некоторые файлы cookie действуют с момента входа на сайт до конца данной конкретной сессии работы в браузере. При закрытии браузера эти файлы становятся ненужными и автоматически удаляются. Такие файлы cookie называются «сеансовыми».

Некоторые файлы cookie сохраняются на устройстве и в промежутке между сессиями работы в браузере — они не удаляются после закрытия браузера. Такие файлы cookie называются «постоянными». Срок хранения постоянных файлов cookie на устройстве различается для разных файлов cookie. Оператор использует постоянные файлы cookie в следующих целях: например, чтобы определить, как часто пользователь посещает сайт или как часто возвращается, как с течением времени меняется характер использования сайта, а также для оценки эффективности рекламы.

6.21. Просмотр сайта, а также использование его программ и продуктов подразумевают автоматическое согласие Пользователя с настоящим Положением, подразумевающим предоставление Пользователем персональных данных на обработку. Если пользователь не принимает настоящее Положение, он должен покинуть сайт.

6.22. Настоящее Положение распространяется только на сайты Оператора. Если по ссылкам, размещенным на сайте, Пользователь зайдет на ресурсы третьих лиц, Оператор не несет ответственности за действия третьих лиц.

6.23. На Сайте Оператора используется система аналитики Яндекс.Метрика в целях анализа пользовательской активности.

Передача персональных данных посетителей и пользователей сайта Оператора при их обработке в аналитических целях системой аналитики Яндекс.Метрика осуществляется путем их предоставления определенному кругу лиц или открытия санкционированного доступа к ним.

Система аналитики Яндекс.Метрика в аналитических целях обрабатывает персональные данные посетителей в соответствие с:

• Политикой использования файлов cookie, размещенной в сети «Интернет» по адресу: https://yandex.ru/legal/cookies_policy;

• Условиями использования сервиса «Яндекс.Метрика», размещенными в сети «Интернет» по адресу: https://yandex.ru/legal/metrica_termsofuse;

• Политикой конфиденциальности, размещенной в сети «Интернет» по адресу: https://yandex.ru/legal/confidential.

Система аналитики Яндекс.Метрика размещает постоянный файл Сookie в клиентском веб-браузере для идентификации посетителя сайта Оператора в качестве уникального пользователя при следующем посещении данного сайта. Этот файл Сookie не может использоваться никем, кроме системы аналитики Яндекс.Метрика. Сведения, собранные с помощью файла Сookie, будут передаваться для хранения на серверы Яндекс (119021, Россия, Москва, ул. Л. Толстого, д. 16).

6.24. На Сайте Оператора используется сервис аналитики и обратного звонка Calltouch. Система аналитики и обратного звонка Calltouch в аналитических целях обрабатывает персональные данные посетителей в соответствие с:

Лицензионным Договором-офертой с ООО «Колтач Солюшнс» ИНН 7703388936;

Политикой в отношении обработки персональных данных ООО «Колтач Солюшнс», размещенной в сети Интернет по адресу: https://www.calltouch.ru/privacy_policy.pdf;

Политикой использования файлов cookie, размещенной в сети Интернет по адресу: https://www.calltouch.ru/upload/documents/cookie-policy.pdf

6.24.1. Цели использования Calltouch:

определение пользовательских сессий на сайте Оператора с целью получения информации о рекламном источнике обращения и истории посещений пользователем сайта Оператора при помощи подмены телефонных номеров на сайте с привязкой к каждому единовременному посетителю сайта (динамический коллтрекинг);

определение рекламных источников, которые приводят обращения от посетителей сайта Оператора при помощи подмены телефонных номеров на сайте с привязкой отдельных телефонных номеров к определенным Оператором рекламным источникам (статистический коллтрекинг);

определение времени показа сообщения посетителю сайта Оператора на основе статистических данных, аналитическая обработка голосового трафика с целью определения рекламного источника обращения (динамический обратный звонок);

определение типа обращения, заданного Оператором, на основании аналитической обработки голосового трафика, заявок с сайта и обращений через формы коммуникации на сайте Оператора;

определение признаков сомнительных обращений, поступающих Оператору, на основании автоматического анализа параметров посетителей сайта, характеристик телефонных номеров;

определение и анализ пользовательских сессий на сайте оператора с целью получения информации о рекламном источнике, который привел пользователя, действиях пользователя, совершенных на сайте, и истории посещений пользователем сайта оператора.

7. Права и обязанности субъектов персональных данных и Оператора

7.1. Права субъектов персональных данных:

7.1.1. Свободно, своей волей и в своем интересе предоставлять согласие на обработку персональных данных с учетом требований Закона о персональных данных к форме и содержанию согласий на обработку персональных данных

7.1.2. Субъекты персональных данных имеют право (при личном обращении или при направлении письменного запроса) на получение информации, касающейся обработки их персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных;

• правовые основания и цели обработки персональных данных;

• цели и применяемые оператором способы обработки персональных данных;

• наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

• сроки обработки персональных данных, в том числе сроки их хранения;

• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;

• информацию об осуществленной или о предполагаемой трансграничной передаче данных;

• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.

Сведения, указанные выше, должны быть предоставлены субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

Сведения, указанные выше, предоставляются субъекту персональных данных или его представителю уполномоченным должностным лицом Оператора, осуществляющим обработку соответствующих персональных данных, в течение 10 (десяти) рабочих дней с момента обращения либо получения Оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

7.1.3. Субъекты персональных данных вправе требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если, по мнению субъектов персональных данных, данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

7.1.4. Также субъекты персональных данных могут отозвать данное ими согласие на обработку персональных данных, включая согласие на получение информации информационного и/или рекламного характера.

7.1.5. Осуществлять иные права, предусмотренные Законодательством РФ.

7.2. Обязанности субъектов персональных данных

7.2.1 Субъекты персональных данных обязаны:

• предоставлять достоверную и актуальную информацию о себе, в том числе актуальные контактные данные, принадлежащие субъекту персональных данных;

• своевременно сообщать о необходимости внесения изменений (обновлений, уточнений) в персональные данные;

• знакомиться с актуальными версиями юридических документов Общества, публикуемых на внутренних и внешних ресурсах Общества или доступных для ознакомления иным способом, в том числе настоящей Политики, Положения об обработке и защите персональных данных и иных документов Общества.

7.3. Обязанности Оператора персональных данных

7.3.1 Общество, являясь Оператором персональных данных, обязано:

при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных Субъектов персональных данных (граждан РФ) с использованием баз данных, находящихся на территории РФ, за исключением случаев, предусмотренных Законодательством РФ;

при сборе персональных данных с использованием информационно-телекоммуникационных сетей, опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего Банку сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети;

в случае, если предоставление персональных данных и/или согласия на их обработку является обязательным в соответствии с требованиями Законодательства РФ и Субъект персональных данных отказывается предоставить персональные данные и/или предоставить согласие на их обработку, разъяснить юридические последствия непредоставления персональных данных и/или согласия на их обработку;

в случае получения персональных данных не от Субъекта персональных данных до начала обработки персональных данных предоставить Субъекту персональных данных информацию, предусмотренную Законом о персональных данных, с учетом установленных Законодательством РФ исключений;

выполнять обязанности, предусмотренные для Операторов персональных данных, при получении запросов и/или обращений по вопросам персональных данных от Субъекта персональных данных и/или его Представителя (обладающего полномочиями на представление интересов Субъекта персональных данных), и/или от контролирующих органов;

принимать меры, направленные на обеспечение выполнения требований Закона о персональных данных;

принимать меры по обеспечению безопасности персональных данных при их обработке;

выполнять обязанности по устранению нарушений Законодательства РФ, если такие нарушения были допущены при обработке персональных данных, а также выполнять обязанности по уточнению, блокированию, уничтожению персональных данных в случаях, предусмотренных Законодательством РФ;

выполнять обязанности, установленные Законом о персональных данных для Операторов персональных данных, в случае получения от Субъекта персональных данных требования о прекращении обработки персональных данных и/или отзыва согласия на обработку персональных данных;

взаимодействовать с контролирующими органами по вопросам, связанным с обработкой и защитой персональных данных, в случаях, предусмотренных Законом о персональных данных.

7.4. Права Оператора персональных данных

обрабатывать персональные данные Субъектов персональных данных в отсутствие согласия на обработку персональных данных в случаях, предусмотренных Законом о персональных данных;

осуществлять передачу персональных данных Субъектов персональных данных третьим лицам, государственным органам, муниципальным органам власти, государственным учреждениям, государственным внебюджетным фондам, иным лицам (если применимо), а также поручить обработку персональных данных Субъектов персональных данных третьим лицам при наличии соответствующих правовых оснований и соблюдении требований Закона о персональных данных;

отказать Субъекту персональных данных в предоставлении сведений об обработке его персональных данных в случаях, предусмотренных Законом о персональных данных;

самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законодательством РФ;

самостоятельно, с учетом требований Закона о персональных данных, определять перечень необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных на основании проведенной оценки актуальных угроз безопасности персональных данных, а также определять порядок реализации указанных мер и проводить оценку эффективности принимаемых мер;

реализовывать иные права, предусмотренные Законодательством РФ.

8. Обращения субъектов персональных данных

8.1. Согласно пункту 20 Федерального закона № 152-ФЗ от 27 июля 2006 года, общество бесплатно предоставляет информацию о наличии персональных данных конкретного субъекта или возможности ознакомиться с ними по обращению самого субъекта или его официального представителя. Порядок действий и сроки рассмотрения обращений регулируются пунктом 14 упомянутого закона.

8.2. Общество вправе отказать в предоставлении информации о наличии персональных данных или доступе к ним заявителям при условии обязательного изложения мотивированного решения, содержащего ссылку на пункт 8 статьи 14 Федерального закона № 152-ФЗ или иную норму российского законодательства, служащую основанием для отказа.

8.3. Если обнаруживаются неверные персональные данные, полученные обществом в результате обращения субъекта или официального запроса уполномоченного органа, компания временно блокирует обработку таких данных с момента обращения заявителя или получения запроса до окончания проверки, если временная блокировка не противоречит интересам субъекта или третьих лиц.

8.4. Подтверждение неточностей в персональных данных требует внесения изменений обществом самостоятельно или через исполнителя в течение 7 рабочих дней, начиная с даты предъявления соответствующих доказательств заявителем, официальным представителем или уполномоченным органом.

8.5. При обнаружении фактов незаконного использования персональных данных в результате обращения субъекта или уполномоченного органа общество немедленно приостанавливает обработку данных, относящихся к данному субъекту, вплоть до завершения проверки.

8.6. В случаях невозможности установить правомерность обработки персональных данных общество обязано уничтожить или организовать удаление некорректно обработанных данных в течение 10 рабочих дней с момента установления несоответствия требованиям закона.

8.7. После прекращения нарушения оператором общество направляет уведомление субъекту или его официальному представителю, а также передает сведения уполномоченному органу по защите прав субъектов персональных данных, если первоначальное заявление было направлено указанным органом.

8.8. При установлении факта неправомерной или случайной передачи персональных данных оператор должен:

в течение 24 часов оповестить уполномоченный орган по защите прав субъектов персональных данных о факте инцидента, его вероятных причинах, размере ущерба и принимаемых мерах;

в течение 72 часов предоставить отчет о результатах внутреннего расследования и назвать виновников произошедшего инцидента (если они выявлены).

8.9. При поступлении обращения от субъекта с требованием запретить обработку его персональных данных для маркетинговых целей общество немедленно прекращает подобную обработку.

8.10. При отзыве согласия на обработку персональных данных субъектом общество прекратит обработку данных и, если сохранение данных более не требуется для целей обработки, уничтожит их в течение 30 календарных дней с момента получения отзыва, если иное не установлено законодательством РФ.

8.11. При поступлении требования от субъекта о прекращении обработки персональных данных общество исполняет данное требование в срок, не превышающий 10 рабочих дней, если законодательство РФ допускает выполнение подобного требования.

8.12. Если необходимость обработки персональных данных утрачена раньше установленного срока, общество ликвидирует данные в течение 30 календарных дней, если иное не предусмотрено законодательством РФ.

8.13. После достижения целей обработки персональных данных или окончания периода их хранения общество устраняет данные в течение 30 календарных дней, если иное не предписано федеральными законами.

8.14. При наступлении предельного срока хранения документов, содержащих персональные данные, общество проводит их уничтожение в течение 30 календарных дней, если иной порядок не установлен законодательством РФ.

8.15. Внутренним документом оператора определен порядок, сроки и способ уничтожения персональных данных.

9. Защита персональных данных. Обезличивание персональных данных.

9.1. В целях обеспечения конфиденциальности и безопасности персональных данных Субъектов, а также защиты их от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных незаконных действий, Оператор в соответствии с Законом о персональных данных принимает необходимые правовые, организационные и технические меры либо обеспечивает их принятие лицами, действующими по его поручению. В частности, реализуются следующие меры:

определяется перечень актуальных угроз безопасности персональных данных, обрабатываемых в ИСПДн, и применяются соответствующие организационные и технические меры, обеспечивающие требуемый уровень защищенности;

для нейтрализации выявленных угроз используются средства защиты информации, соответствующие установленным уровням защищенности и прошедшие процедуру оценки соответствия;

проводится оценка эффективности принимаемых и реализованных мер защиты и обеспечения безопасности персональных данных, включая этап до ввода информационных систем в эксплуатацию (оценка может выполняться собственными силами либо с привлечением лицензированных организаций);

обеспечиваются пропускной режим и управление доступом к персональным данным, техническим средствам обработки, средствам защиты информации и элементам инфраструктуры ИСПДн;

осуществляется регистрация и учет всех действий, связанных с обработкой персональных данных в ИСПДн;

организуется учет технических средств, входящих в состав ИСПДн, а также машинных носителей;

определяется и при необходимости обновляется перечень работников, которым требуется доступ к персональным данным для выполнения трудовых обязанностей;

принимаются меры по предотвращению и выявлению фактов несанкционированного доступа к персональным данным, а также меры по предупреждению, обнаружению и устранению последствий компьютерных атак и реагированию на компьютерные инциденты;

обеспечивается восстановление персональных данных, которые были изменены или уничтожены в результате несанкционированного доступа;

используется разрешенное программное обеспечение, контролируются его установка и обновление;

осуществляется обнаружение инцидентов, реагирование на них и принятие мер по их устранению;

проводится контроль эффективности мер по обеспечению безопасности персональных данных и уровня защищенности ИСПДн.

Кроме того, проводится оценка возможного вреда, который может быть причинен Субъектам персональных данных в случае нарушения Закона о персональных данных, а также анализ соотношения между потенциальным вредом и принимаемыми мерами по исполнению требований законодательства.

9.2. Обезличивание персональных данных

9.2.1. Обезличивание персональных данных осуществляется Оператором в целях:

обеспечения защиты персональных данных при их обработке;

выполнения требований законодательства о защите персональных данных;

последующего использования обезличенной информации в статистических, аналитических и иных законных целях.

9.2.2. Оператор применяет один или несколько следующих способов обезличивания персональных данных:

исключение или замена идентификаторов, позволяющих прямо или косвенно определить субъекта персональных данных;

агрегация данных, исключающая возможность выделения информации о конкретном субъекте;

обобщение или преобразование данных иными методами, исключающими возможность восстановления персональных данных без применения дополнительных сведений.

9.2.3. Оператор принимает технические и организационные меры, направленные на исключение возможности восстановления исходных персональных данных из обезличенной информации, включая:

применение устойчивых алгоритмов обезличивания;

ограничение доступа к исходным массивам данных и ключам восстановления;

проведение регулярной оценки рисков повторной идентификации.

9.2.4. Обезличенные данные не относятся к персональным и могут использоваться, храниться, распространяться или передаваться третьим лицам без согласия субъекта персональных данных, при условии, что невозможно идентифицировать субъекта такими способами.

9.2.5. Обезличивание производится методами и в соответствие с требованиями, утвержденными Приказом Роскомнадзора от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных", а также Методическими рекомендациями по его применению, иными нормами действующего законодательства, подзаконных актов и локальных актов.

10. Внутренний контроль соответствия обработки персональных данных положениям законодательства РФ о защите персональных данных, требованиям к защите персональных данных, настоящему Положению и локальным нормативным актам Оператора

10.1. Оператор осуществляет постоянный внутренний контроль и аудит соблюдения требований законодательства Российской Федерации в области персональных данных, настоящего Положения и иных локальных нормативных актов, регулирующих порядок обработки и защиты персональных данных.

10.2. Должностное лицо, ответственное за организацию обработки и обеспечение безопасности персональных данных, назначенное Оператором:

организует и проводит проверки соблюдения требований в сфере персональных данных;

контролирует выполнение работниками Оператора установленных обязанностей;

участвует в разработке и актуализации внутренних документов, связанных с обработкой и защитой персональных данных.

10.3. Внутренний контроль осуществляется в форме:

плановых проверок, проводимых на регулярной основе согласно утверждённому графику;

внеплановых проверок, инициируемых при выявлении нарушений, подозрении на инцидент, изменении технологий обработки данных или поступлении обращений субъектов персональных данных.
По результатам проверок составляются отчёты, содержащие выявленные нарушения, оценку рисков и рекомендации по их устранению.

10.4. Оператор регулярно оценивает эффективность применяемых технических и организационных мер защиты персональных данных, включая:

контроль соблюдения правил доступа к персональным данным;

анализ состояния информационных систем, в которых осуществляется обработка персональных данных;

проверку соблюдения требований к хранению, передаче, обезличиванию и уничтожению персональных данных.

10.5. При выявлении нарушений Оператор принимает меры по их оперативному устранению, включая:

разработку корректирующих действий;

внесение изменений в локальные нормативные документы;

проведение дополнительного обучения сотрудников;

совершенствование применяемых мер защиты.
 10.6. Результаты внутреннего контроля подлежат документированию и хранению в порядке, установленном локальными нормативными актами Оператора. Документы внутреннего контроля могут быть использованы при взаимодействии с надзорными органами.

10.7. Оператор обеспечивает регулярный анализ и совершенствование системы внутреннего контроля, включая актуализацию процедур, методов и инструментов проверки с учётом изменения законодательства, требований регуляторов и развития технологий обработки персональных данных.

11. Заключительные положения

11.1. Настоящее Положение вступает в силу с момента его утверждения генеральным директором и действует бессрочно до замены его новым документом (новой редакцией Положения).

11.2. Общество проводит пересмотр настоящего Положения и его актуализацию по мере необходимости, в частности:

• при изменении порядка обработки персональных данных в Обществе;

• по результатам проверок органа по защите прав субъектов персональных данных, выявившим несоответствия требованиям законодательства РФ по обеспечению безопасности персональных данных;

• при изменении требований законодательства РФ в области персональных данных к порядку обработки и обеспечению безопасности персональных данных;

• в случае выявления существенных нарушений по результатам внутренних проверок системы защиты персональных данных.

11.3. При внесении изменений в настоящее Положение указывается дата последнего обновления. Новая редакция вводится в действие приказом Генерального директора.

11.4. Субъект персональных данных соглашается с положениями действующей в это время редакцией настоящего Положение, если продолжает каким–либо образом взаимодействовать с Обществом.

Контакты