Политика в отношении обработки персональных данных

Содержание

  1. Назначение
  2. Общие положения
  3. Цели обработки персональных данных
  4. Объем обработки персональных данных
  5. Принципы и условия обработки персональных данных
  6. Права и обязанности субъекта персональных данных
  7. Права и обязанности Оператора персональных данных
  8. Меры по обеспечению безопасности персональных данных при их обработке
  9. Изменение политики
  10. Согласие на обработку персональных данных

    1. Назначение

    1. Обработка персональных данных является неотъемлемой частью деятельности Акционерного общества «Паспорт.Цифровые продукты» (далее – АО «П.ЦП»; Оператор).

      Настоящий документ определяет политику Оператора в отношении обработки персональных данных (далее – Политика).

    2. Политика разработана в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и иными нормативными правовыми актами в сфере обработки персональных данных.
    3. Положения и требования Политики распространяются на все структурные подразделения Оператора, участвующие в процессе обработки персональных данных и на все операции, совершаемые им с персональными данными.
    4. Целью настоящей Политики является защита прав и свобод человека и гражданина при обработке его персональных данных, в том числе защита прав на неприкосновенность частной жизни, личную и семейную тайну.
    5. Настоящая Политика является общедоступной и предусматривает возможность ознакомления неограниченного круга лиц с ее действующей редакцией, в том числе путем опубликования на Веб-сайтах Оператора в информационно-телекоммуникационной сети Интернет.
    6. Настоящая Политика подлежит обязательной актуализации в случае изменения законодательства Российской Федерации в области защиты персональных данных.
    7. Настоящая Политика обязательна для ознакомления:
      • должностными лицами Оператора, допущенными к обработке персональных данных;
      • субъектами персональных данных, передающими Оператору свои персональные данные.

    2. 2. Общие положения

    1. В настоящей Политике используются термины и определения, в соответствии с их значениями, определенными в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных», кроме того, используются следующие понятия:
      1. Конфиденциальность персональных данных – обязанность Оператора и иных лиц, получивших доступ к персональным данным, не раскрывать и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации;
      2. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
      3. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
      4. Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет, имеющих уникальный адрес и воспринимаемый пользователями как единое информационное пространство;
      5. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
      6. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных;
      7. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ) и поручение обработки третьим лицам, обезличивание, блокирование, удаление, уничтожение персональных данных;
      8. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
      9. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
      10. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
      11. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.
      12. Файлы cookie - это небольшие файлы данных (обычно содержащие буквы и цифры), которые Веб-сайт может оставлять на компьютере или мобильном устройстве при посещении того или иного сайта или страницы. Файлы cookie помогает Веб-сайту узнать устройство при следующем посещении.
    2. АО «П.ЦП» является Оператором персональных данных, который осуществляет обработку персональных данных, определяет цели обработки и состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

      Акционерное общество «Паспорт.Цифровые продукты» (АО «П.ЦП») (ИНН 7707455319, ОГРН 1217700336369, контактная информация указана в разделе «Контакты» на официальном сайте Оператора - https://ppdp.ru).

    3. У Оператора разработаны и введены в действие локальные нормативные акты, устанавливающие порядок обработки и обеспечения безопасности персональных данных, которые соответствуют требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов.
    4. Основные положения Политики могут распространяться на подразделения и процессы других организаций и учреждений, осуществляющих взаимодействие с Оператором в качестве поставщиков и потребителей информации.
    5. Правовой основой обработки персональных данных Оператором являются Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Устав АО «П.ЦП», договоры, заключаемые между Оператором и субъектами персональных данных, согласия субъектов на обработку персональных данных, а также иные правовые акты и документы, связанные с деятельностью Оператора.

    3. 3. Цели обработки персональных данных

    1. Оператор осуществляет обработку персональных данных в следующих целях:
      1. Исполнения Оператором соответствующих обязательств по оказанию услуг с помощью разработанных им информационных систем и Веб-сайтов.
      2. Информирование субъектов, являющихся пользователями информационных систем Оператора, о любых изменениях, вносимых в деятельность таких информационных систем и программных продуктах.
      3. Поддержание актуальной информации о пользователях информационных систем Оператора.
      4. Оптимизация работы Веб-сайтов.
      5. Оценка эффективности выпускаемых информационных материалов и их адаптация под пользователей;
      6. Проведение внутренних технических работ в рамках оптимизации работы разработанных информационных систем и Веб-сайтов, проведения анализа данных, тестов, исследований, опросов, в том числе в целях адаптации отображения материалов под устройства пользователей.
      7. Обеспечения соблюдения законодательства Российской Федерации, а также в других целях, предусмотренных Уставом и локальными нормативными актами Оператора.

    4. 4. Объем обработки персональных данных

    1. Состав персональных данных, обрабатываемых Оператором:
      • фамилия, имя, отчество;
      • адрес электронной почты;
      • номер телефона;
      • СНИЛС;
      • перечень оказанных услуг и их стоимость;
      • запросы, переписка, договоры (соглашения);
      • файлы cookie, электронные пользовательские данные (в том числе идентификаторы пользователя, сетевые адреса, идентификаторы устройств, данные геолокации, языковые настройки, часовой пояс, время и статистика использования информационных ресурсов Оператора, действия пользователей, источники переходов на веб-страницы, отправленные поисковые и иные запросы, созданный пользователем контент), сертификаты электронной подписи;
      • иные персональные данные, содержащиеся в общедоступных источниках.
    2. Оператор осуществляет обработку персональных данных следующих субъектов:
      1. посетителей Веб-сайтов Оператора и пользователей информационных систем Оператора;

    5. 5. Принципы и условия обработки персональных данных

    1. Обработка персональных данных осуществляется в соответствии с принципами, установленными законодательством Российской Федерации, включая:
      1. Обработка персональных данных осуществляется на законной и справедливой основе с согласия субъекта персональных данных, которое является конкретным, предметным, информированным, сознательным и однозначным, если иное не предусмотрено законодательством Российской Федерации.

        Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме:

        • письменно в соответствии с утвержденными типовыми формами;
        • в форме совершения субъектом персональных данных конклюдентных действий, в том числе принятия условий договора-оферты, правил пользования информационными ресурсами; продолжения использования всех информационных ресурсов и Веб-сайтов Оператора, взаимодействия с их пользовательскими интерфейсами после уведомления пользователя об обработке данных; проставления отметок, заполнения соответствующих полей в формах, бланках; поддержания электронной переписки, в которой говорится об обработке и т.д.
      2. Обработка персональных данных ограничивается достижением целей, указанных в настоящей Политике. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
      3. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям. Не допускается обработка избыточного объема персональных данных относительно заявленных целей обработки.
      4. При обработке персональных данных обеспечиваются необходимая точность и достаточность, а в некоторых случаях – актуальность, относительно заявленных целей обработки.
      5. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки.
      6. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости достижения заявленной цели, если иное не предусмотрено законодательством Российской Федерации.
      7. Любые обрабатываемые персональные данные подлежат защите и относятся к информации ограниченного доступа. Доступ к персональным данным разрешается только работникам Оператора, указанным в перечне лиц и должностей, которым обработка персональных данных необходима для выполнения должностных (трудовых) обязанностей.
    2. Сроки обработки персональных данных определяются в зависимости от достижения целей обработки или в случае утраты необходимости достижения заявленной цели, либо отзывом субъектом персональных данных согласия на обработку его персональных данных.
    3. Оператор обеспечивает защиту и конфиденциальность обрабатываемых персональных данных от несанкционированного доступа, неправомерного использования, разглашения, искажения или утраты в соответствии с требованиями законодательства Российской Федерации.
    4. Обрабатываемые персональные данные могут быть получены непосредственно от субъекта персональных данных, третьих лиц и из общедоступных источников.
    5. Без согласия субъекта персональных данных Оператор не передает третьим лицам, не поручает обработку и не распространяет обрабатываемые персональные данные, если иное не предусмотрено законодательством Российской Федерации.
    6. Оператор не обрабатывает общедоступные персональные данные в целях продвижения товаров, работ, услуг на рынке и в целях политической агитации, а также специальные категории персональных данных.
    7. Оператор не обрабатывает персональные данные, содержащиеся в государственных информационных системах, поскольку не является участником функционирования таких государственных систем.
    8. Оператор не производит трансграничную (на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу обрабатываемых персональных данных.
    9. В целях внутреннего информационного обеспечения Оператор может создавать справочные материалы, в которые с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, телефонный номер, адрес электронной почты и иные персональные данные.
    10. Оператором допускается обработка информации субъектов персональных данных в статистических и иных исследовательских целях при условии обязательного обезличивания используемых для этого персональных данных.
    11. Веб-сайты Оператора используют сервисы веб-аналитики с использованием технологии «cookie». Достоверность собранных таким способом электронных данных Оператором не проверяется, информация обрабатывается в том виде, как она поступила с устройства посетителя.

      Собранная при помощи файлов cookie информация не может идентифицировать пользователя, а помогает улучшить работу Веб-сайтов Оператора. Пользователь вправе отказаться от использования файлов cookie, выбрав соответствующие настройки в браузере при посещении Веб-сайтов Оператора.

    6. 6. Права и обязанности субъекта персональных данных

    1. Субъект персональных данных, чьи персональные данные обрабатываются Оператором, имеет право:
      1. Принимать решение о предоставлении своих персональных данных Оператору путем выдачи согласия.
      2. Отзывать согласие на обработку своих персональных данных.
      3. Обращаться для дополнения либо изменения обрабатываемых персональных данных.
      4. Получать информацию, касающуюся обработки своих персональных данных в соответствии с законодательством Российской Федерации.
      5. Требовать от Оператора уточнения его персональных данных, и х блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
      6. Принимать предусмотренные законом меры по защите своих прав, обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований законодательства или иным образом нарушает его права и свободы.
      7. Кроме указанных прав в вопросах обработки его персональных данных субъект персональных данных обладает другими правами, предоставляемыми ему законодательством Российской Федерации.
    2. Право субъекта персональных данных на доступ к его обрабатываемым персональным данным может быть ограничено в соответствии с законодательством Российской Федерации.
    3. Субъект персональных данных, чьи персональные данные обрабатываются Оператором, обязан:
      1. Предоставлять свои персональные данные в случаях, установленных законодательством Российской Федерации.
      2. В целях соблюдения своих законных прав и интересов предоставлять Оператору достоверные персональные данные.
      3. Кроме указанных обязанностей в вопросах обработки его персональных данных на субъект персональных данных налагаются иные обязанности, предусмотренные законодательством Российской Федерации.

    7. 7. Права и обязанности Оператора персональных данных

    1. Оператор при обработке персональных данных субъектов персональных данных имеет право:
      1. Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения требований, предусмотренных законодательством Российской Федерации в области защиты персональных данных.
      2. Осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных в случаях, предусмотренных законодательством Российской Федерации.
      3. Поручить обработку персональных данных третьему лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора, в том числе в случаях использования сторонних услуг, вычислительных ресурсов, приложений и инфраструктуры для обработки информации и обратной связи с посетителями Веб-сайтов Оператора.
      4. Осуществлять (или обеспечивать осуществление) уничтожение персональных данных при достижении цели обработки персональных данных. В случае достижения цели обработки персональных данных продолжить обработку персональных данных, если это предусмотрено законодательством Российской Федерации.
      5. Осуществлять (или обеспечивать осуществление) блокирования или уничтожения персональных данных, если обеспечить правомерность обработки персональных данных невозможно.
      6. Ограничить право субъекта персональных данных на доступ к его персональным данным в случаях, предусмотренных законодательством Российской Федерации.
      7. Отказать субъекту персональных данных в выполнении запроса в целях получения сведений, касающихся обработки его персональных данных, в случаях, предусмотренных законодательством Российской Федерации.
      8. Продолжить обработку персональных данных, если это предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, в случае отзыва субъектом персональных данных согласия на обработку его персональных данных.
      9. Кроме вышеуказанных прав в вопросах обработки персональных данных Оператор обладает другими правами, предоставляемыми ему законодательством Российской Федерации.
    2. Обработка персональных данных на основании поручений на обработку персональных данных, договоров и иных соглашений Оператора осуществляется в соответствии с условиями этих соглашений Оператора с лицами, которым поручена обработка на законных основаниях. Такие соглашения определяют, в частности:
      • цели, условия, действия с персональными данными, сроки обработки персональных данных;
      • роли, функции и обязательства сторон, в том числе, меры по обеспечению конфиденциальности и защиты информации;
      • права и ответственность сторон, касающиеся обработки персональных данных.
    3. Оператор при обработке персональных данных субъектов персональных данных обязан:
      1. Уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, а также в случае изменения сведений, указанных в уведомлении о своем намерении осуществлять обработку персональных данных.
      2. Назначить лицо, ответственное за организацию обработки персональных данных у Оператора. Ознакомить работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, локальными нормативными актами по вопросам обработки персональных данных, в том числе с настоящей Политикой.
      3. Опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике.
      4. Не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации. Принимать необходимые правовые, организационные и технические меры (или обеспечивать их принятие) для защиты персональных данных от неправомерных действий.
      5. Прекратить обработку персональных данных (или обеспечить ее прекращение) и уничтожить персональные данные (или обеспечить их уничтожение), в случаях, предусмотренных законодательством Российской Федерации.
      6. Внести в обрабатываемые персональные данные необходимые изменения в случае предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными.
      7. Предоставить субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных.
      8. Кроме указанных обязанностей в вопросах обработки персональных данных на Оператора могут возлагаться иные обязанности, предусмотренные законодательством Российской Федерации.
    4. Ответственность Оператора за надлежащую обработку персональных данных определяется законодательством Российской Федерации.
      1. Ответственность работников Оператора, участвующих в обработке персональных данных в силу выполнения функциональных обязанностей, за ненадлежащую обработку и неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного трудового договора, обязательства о соблюдении режима конфиденциальности персональных данных, иных локальных нормативных актов Оператора.
      2. Ответственность лиц, участвующих в обработке персональных данных на основании поручений Оператора, за ненадлежащую обработку и неправомерное использование персональных данных устанавливается в соответствии с условиями соглашения достигнутого сторонами.
      3. Контроль исполнения требований Политики осуществляется ответственными за организацию обработки персональных данных в соответствии с локальными нормативными актами Оператора.
      4. Работники Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную, административную, материальную, гражданско-правовую или уголовную ответственность в порядке, установленном законодательством Российской Федерации.

    8. 8. Меры по обеспечению безопасности персональных данных при их обработке

    1. При сборе и обработке персональных данных Оператор принимает необходимые и достаточные правовые, организационные и технические меры (или обеспечивает их принятие) для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении обрабатываемых персональных данных.
    2. Для выполнения обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных, Оператором приняты следующие меры:
      1. Назначено ответственное лицо за организацию обработки персональных данных, установлены правила и разграничение доступа к персональным данным, а также регистрация и учет действий, совершаемых с персональными данными.
      2. Утверждены локальные нормативные акты, регламентирующие вопросы обработки персональных данных, устанавливающие процедуры, направленные на предотвращение и выявление нарушений в области защиты персональных данных.
      3. Работники Оператора, связанные с обработкой персональных данных, проходят инструктаж и ознакомление с требованиями законодательства Российской Федерации и локальных нормативных актов Оператора в области защиты персональных данных.
      4. Обеспечена физическая безопасность помещений и средств обработки и хранения персональных данных, пропускной режим и охранное видеонаблюдение, препятствующие возможности неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
      5. Применены прошедшие в установленном порядке процедуру оценки соответствия технические и программные средства защиты информации.
      6. Организован учет машинных носителей персональных данных и парольная защита информационных систем.
      7. Определены актуальные угрозы безопасности персональных данных при их обработке в информационных системах Оператора.
      8. Организован периодический контроль и оценка эффективности принимаемых мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах.

    9. 9. Изменение политики

    1. Оператор имеет право вносить изменения в настоящую Политику при необходимости без дополнительного уведомления.
    2. Новая редакция Политики вступает в силу с момента ее утверждения приказом Оператора, если иное не предусмотрено новой редакцией Политики.
    3. Предложения и замечания для внесения изменений в настоящую Политику заинтересованные лица могут направлять на электронную почту, указанную в разделе «Контакты» на Веб-сайтах Оператора.

    10. 10. Согласие на обработку персональных данных

    1. Субъект персональных данных, являющийся посетителем Веб-сайтов Оператора или пользователем информационных систем, принадлежащих Оператору, чьи персональные данные обрабатываются Оператором, подтверждает свою полную дееспособность и дает согласие на обработку персональных данных Оператору – Акционерному обществу «Паспорт.Цифровые продукты» (АО «П.ЦП»), юридический адрес: 105120, г. Москва, вн.тер. г. муниципальный округ Таганский, пл. Андроньевская, д. 4, стр. 1, ИНН 7707455319, КПП 770901001, ОГРН 1217700336369, тел. +7 (999) 910-63-69, e-mail: info@ppdp.ru со следующими условиями.
    2. Перечень обрабатываемых данных: в соответствии с п. 4. Политики.
    3. Цель обработки персональных данных: в соответствии с п.3. Политики.
    4. Категории субъектов персональных данных: все пользователи Веб-сайтов Оператора или пользователем информационных систем, принадлежащих Оператору.
    5. Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, передача (доступ, предоставление), блокирование, удаление, уничтожение персональных данных.
    6. Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований: лицо, ответственное за обработку персональных данных, производит стирание данных методом перезаписи (замена всех единиц хранения информации на "0") с составлением акта об уничтожении персональных данных.
    7. Также субъект своими действиями выражает согласие Оператору поручать обработку персональных данных третьему лицу, привлекаемому Оператором для достижения указанной цели обработки персональных данных.
    8. Настоящее согласие на обработку персональных данных действует в течение срока, необходимого для достижения целей обработки, а также в течение 5 (пяти) лет после их достижения.
    9. Способ отзыва согласия: путем направления Оператору соответствующего уведомления. Оператор прекращает обработку в срок до 10 рабочих дней с момента получения соответствующего уведомления.