Политика в отношении обработки персональных данных
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных в ООО «Васта Отель Менеджмент» (далее – Политика, Организация) разработана с целью определения отношений, связанных с обработкой персональных данных, осуществляемых Организацией, защиты персональных данных и обеспечения соблюдения действующего законодательства Российской Федерации и EU General Data Protection Regulation 2016/679 (далее - Регламент ЕС) в части, непротиворечащей российскому законодательству в сфере обработки и защиты персональных данных по защите прав и свобод субъектов персональных данных.
1.2. Основные понятия, приведенные в настоящей Политике:
Работники – работники Организации;
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящей Политики оператором персональных данных выступает ООО «Васта Отель Менеджмент»;
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Целостность персональных данных – состояние персональных данных, при котором отсутствует любое их изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.
Доступность персональных данных – состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно.
Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах;
1.3. Настоящая Политика подлежит опубликованию на официальном сайте Организации с предоставлением неограниченного доступа к ней, а также размещению на бумажном носителе в общедоступном месте помещения Организации.
1.2. Основные понятия, приведенные в настоящей Политике:
Работники – работники Организации;
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящей Политики оператором персональных данных выступает ООО «Васта Отель Менеджмент»;
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Целостность персональных данных – состояние персональных данных, при котором отсутствует любое их изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.
Доступность персональных данных – состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно.
Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах;
1.3. Настоящая Политика подлежит опубликованию на официальном сайте Организации с предоставлением неограниченного доступа к ней, а также размещению на бумажном носителе в общедоступном месте помещения Организации.
2. Цели сбора персональных данных
2.1. Организация осуществляет обработку персональных данных субъектов персональных данных для достижения следующих целей:
- рассмотрение возможности заключения трудового договора;
- формирование и ведение кадрового резерва соискателей;
- выполнение функций и обязанностей, возложенных на Организацию действующим законодательством Российской Федерации;
- трудоустройство;
- ведение кадрового учета в соответствии с Трудовым Кодексом Российской Федерации;
- открытия личных банковских счетов работников Организации для перечисления заработной платы;
- осуществлять функции, полномочия и обязанности, возложенные законодательством РФ на организацию, в том числе по предоставлению ПДн в Федеральную налоговую службу России (далее – ФНС), в Пенсионный фонд РФ (далее – ОПФР), в Фонд социального страхования РФ (далее – ФСС), в Федеральный фонд обязательного медицинского страхования (далее – ФОМС), а также в иные государственные органы;
- соблюдения норм и требований по охране труда и обеспечения личной безопасности работников Организации, сохранности имущества;
- направление работника в командировку;
- осуществление контрольно-пропускного режима;
- использование в целях печати визитных карточек;
- публикация информации на внутрикорпоративном портале;
- формирование и ведение кадрового резерва работников;
- оказание материальной помощи;
- организация корпоративного обучения;
- организация и проведение периодического медицинского осмотра;
- обеспечение личной безопасности работников;
- обеспечение сохранности имущества Организации;
- предоставление добровольного медицинского страхования;
- предоставление услуг Организации;
- проведение маркетинговых исследований;
- рассылка рекламных материалов;
- информирование посетителей веб-сайта об услугах Организации;
- обеспечение личной безопасности посетителей;
- выполнение обязательств, взятых Организацией в рамках заключенных договоров с контрагентами;
- обеспечение личной безопасности сотрудников контрагентов;
- обеспечение личной безопасности получателей услуг гостиниц Организации;
- предоставление гостиничных и сопутствующих услуг Организацией;
- выполнение функций и обязанностей, возложенных на Организацию действующим законодательством Российской Федерации в области миграционного учета;
- предоставление услуг проката Организацией;
- выполнений функций оператора курортного сбора;
- предоставление услуг онлайн-бронирования;
- оказание маркетинговых услуг посредством информирования об акциях, новостях, специальных предложениях, других продуктах и услугах Организации.
2.2. При определении состава обрабатываемых персональных данных субъектов персональных данных Организация руководствуется принципом использования минимально необходимого состава персональных данных для достижения целей получения персональных данных.
- рассмотрение возможности заключения трудового договора;
- формирование и ведение кадрового резерва соискателей;
- выполнение функций и обязанностей, возложенных на Организацию действующим законодательством Российской Федерации;
- трудоустройство;
- ведение кадрового учета в соответствии с Трудовым Кодексом Российской Федерации;
- открытия личных банковских счетов работников Организации для перечисления заработной платы;
- осуществлять функции, полномочия и обязанности, возложенные законодательством РФ на организацию, в том числе по предоставлению ПДн в Федеральную налоговую службу России (далее – ФНС), в Пенсионный фонд РФ (далее – ОПФР), в Фонд социального страхования РФ (далее – ФСС), в Федеральный фонд обязательного медицинского страхования (далее – ФОМС), а также в иные государственные органы;
- соблюдения норм и требований по охране труда и обеспечения личной безопасности работников Организации, сохранности имущества;
- направление работника в командировку;
- осуществление контрольно-пропускного режима;
- использование в целях печати визитных карточек;
- публикация информации на внутрикорпоративном портале;
- формирование и ведение кадрового резерва работников;
- оказание материальной помощи;
- организация корпоративного обучения;
- организация и проведение периодического медицинского осмотра;
- обеспечение личной безопасности работников;
- обеспечение сохранности имущества Организации;
- предоставление добровольного медицинского страхования;
- предоставление услуг Организации;
- проведение маркетинговых исследований;
- рассылка рекламных материалов;
- информирование посетителей веб-сайта об услугах Организации;
- обеспечение личной безопасности посетителей;
- выполнение обязательств, взятых Организацией в рамках заключенных договоров с контрагентами;
- обеспечение личной безопасности сотрудников контрагентов;
- обеспечение личной безопасности получателей услуг гостиниц Организации;
- предоставление гостиничных и сопутствующих услуг Организацией;
- выполнение функций и обязанностей, возложенных на Организацию действующим законодательством Российской Федерации в области миграционного учета;
- предоставление услуг проката Организацией;
- выполнений функций оператора курортного сбора;
- предоставление услуг онлайн-бронирования;
- оказание маркетинговых услуг посредством информирования об акциях, новостях, специальных предложениях, других продуктах и услугах Организации.
2.2. При определении состава обрабатываемых персональных данных субъектов персональных данных Организация руководствуется принципом использования минимально необходимого состава персональных данных для достижения целей получения персональных данных.
3. Правовые основания обработки персональных данных
3.1. Настоящая Политика разработана в соответствии с требованиями Федерального закона Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных») и принятыми в соответствии с ним нормативными правовыми актами и Регламентом ЕС в части непротиворечащей российскому законодательству. Правовыми основаниями обработки персональных данных в Организации являются:
- ст. ст. 85-90 Трудового кодекса РФ;
- устав Организации;
- Налоговый кодекс РФ;
- договоры с контрагентами;
- Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;
- Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ»;
- Федеральный законом от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- Федеральный законом от 29.07.2017 № 214-ФЗ «О проведении эксперимента по развитию курортной инфраструктуры в Республике Крым, Алтайском крае, Краснодарском крае и Ставропольском крае»;
- Федеральный законом от 18.07.2006 №109-ФЗ «О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации»;
- Постановление Правительства Российской Федерации от 17.07.1995 №713 «Об утверждении Правил регистрации и снятия граждан Российской Федерации с регистрационного учета по месту пребывания и по месту жительства в пределах Российской Федерации и перечня лиц, ответственных за прием и передачу в органы регистрационного учета документов для регистрации и снятия с регистрационного учета граждан Российской Федерации по месту пребывания и по месту жительства в пределах Российской Федерации»;
- письменное согласие на обработку персональных данных субъекта персональных данных.
- ст. ст. 85-90 Трудового кодекса РФ;
- устав Организации;
- Налоговый кодекс РФ;
- договоры с контрагентами;
- Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;
- Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ»;
- Федеральный законом от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- Федеральный законом от 29.07.2017 № 214-ФЗ «О проведении эксперимента по развитию курортной инфраструктуры в Республике Крым, Алтайском крае, Краснодарском крае и Ставропольском крае»;
- Федеральный законом от 18.07.2006 №109-ФЗ «О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации»;
- Постановление Правительства Российской Федерации от 17.07.1995 №713 «Об утверждении Правил регистрации и снятия граждан Российской Федерации с регистрационного учета по месту пребывания и по месту жительства в пределах Российской Федерации и перечня лиц, ответственных за прием и передачу в органы регистрационного учета документов для регистрации и снятия с регистрационного учета граждан Российской Федерации по месту пребывания и по месту жительства в пределах Российской Федерации»;
- письменное согласие на обработку персональных данных субъекта персональных данных.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
4.1. Для выполнения основной деятельности Организация может обрабатывать персональные данные определённых категорий следующих субъектов персональных данных в соответствующих целях:
4.1.1. Кандидаты (соискатели):
- рассмотрение возможности заключения трудового договора;
- формирование и ведение кадрового резерва соискателей.
4.1.2. Работники Организации:
- выполнение функций и обязанностей, возложенных на Организацию действующим законодательством Российской Федерации;
- трудоустройство;
- ведение кадрового учета в соответствии с Трудовым Кодексом Российской Федерации;
- открытия личных банковских счетов работников Организации для перечисления заработной платы;
- перечисление (выплата через кассу по платежной ведомости, расходному кассовому ордеру) заработной платы и других денежных средств, причитающихся работникам Организации;
- осуществление функций, полномочий и обязанностей, возложенных законодательством РФ на организацию, в том числе по предоставлению ПДн в Федеральную налоговую службу России (далее – ФНС), в Пенсионный фонд РФ (далее – ОПФР), в Фонд социального страхования РФ (далее – ФСС), в Федеральный фонд обязательного медицинского страхования (далее – ФОМС), а также в иные государственные органы;
- соблюдение норм и требований по охране труда и обеспечение личной безопасности работников Организации, сохранности имущества;
- направление работника в командировку;
- осуществление контрольно-пропускного режима;
- использование в целях печати визитных карточек;
- публикация информации на внутрикорпоративном портале;
- формирование и ведение кадрового резерва работников;
- оказание материальной помощи;
- организация корпоративного обучения;
- организация и проведение периодического медицинского осмотра;
- обеспечение личной безопасности работников;
- обеспечение сохранности имущества Организации;
- предоставление добровольного медицинского страхования.
4.1.3. Зарегистрированные пользователи веб-сайта Организации:
- предоставление услуг Организации;
- проведение маркетинговых исследований;
- рассылка рекламных материалов.
4.1.4. Пользователи веб-сайта Организации:
- информирование посетителей веб-сайта об услугах Организации.
4.1.5. Посетители Организации:
- осуществление контрольно-пропускного режима;
- обеспечение личной безопасности посетителей.
4.1.6. Сотрудники контрагентов Организации (контрагенты физические лица):
- выполнение обязательств, взятых Организацией в рамках заключенных договоров с контрагентами;
- осуществление контрольно-пропускного режима;
- обеспечение личной безопасности сотрудников контрагентов;
4.1.7. Получатели услуг гостиниц Организации:
- предоставление гостиничных и сопутствующих услуг (в том числе, но не ограничиваясь: услуги питания, санаторно-курортные услуги, аренды помещений, организации мероприятий на территории гостиничного комплекса, и др.);
- оказание маркетинговых услуг посредством информирования об акциях, новостях, специальных предложениях, других продуктах и услугах сети гостиниц «Васта Отель Менеджмент», ресторанов, входящих в сеть «Васта Отель Менеджмент», а также направление оповещений, рекламы, иных информационных материалов о предоставляемых услугах, в статистических иных исследовательских целях. Информирование осуществляется посредством sms-уведомлений, e-mail рассылки.
- рассмотрение обращений пользователей в службу поддержки и предоставление консультаций, помощи в решении вопросов, связанных с оказанием услуг;
- выполнение функций и обязанностей, возложенных на Организацию действующим законодательством Российской Федерации в области миграционного учета
- осуществление функций оператора курортного сбора;
- обеспечение личной безопасности получателей гостиничных услуг Организации;
4.1.8. Получатели услуг онлайн-бронирования, иные пользователи сайта, в т.ч. контрагенты Организации:
- предоставление услуг он-лайн бронирования на сайте www.vastahotels.com;
- авторизация пользователя любым из доступных на сайте www.vastahotels.com способом, в том числе с целью создания для него аккаунта;
- предоставление доступа к сайту www.vastahotels.com и его возможностям (исполнение договоров) в интересах пользователя и по его запросам, в том числе формируемым через пользовательский интерфейс;
- рассмотрение обращений пользователей в службу поддержки и предоставление консультаций, помощи в решении вопросов, связанных с оказанием услуг;
- проведение маркетинговых, статистических, аналитических и иных исследований использования для оптимизации работы сайта, его отдельных возможностей, развития продуктов и услуг от сети «Васта Отель Менеджмент» повышения их удобства для потребителей.
4.1.9. Третьи лица (родственники работников Организации):
- ведение кадрового учета в соответствии с Трудовым Кодексом Российской Федерации;
- оказание материальной помощи работнику Организации.
4.1.10. Бывшие работники Организации:
- выполнение функций и обязанностей, возложенных на Организацию действующим законодательством Российской Федерации.
4.2. Перечень персональных данных (в том числе специальных категорий персональных данных), обрабатываемых в Организации, определяется в соответствии с действующим законодательством Российской Федерации и внутренними нормативными документами Организации с учётом целей обработки персональных данных, указанных в разделе 2 и в соответствии с уведомлением об обработке персональных данных, направленным Организацией в территориальное управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
4.1.1. Кандидаты (соискатели):
- рассмотрение возможности заключения трудового договора;
- формирование и ведение кадрового резерва соискателей.
4.1.2. Работники Организации:
- выполнение функций и обязанностей, возложенных на Организацию действующим законодательством Российской Федерации;
- трудоустройство;
- ведение кадрового учета в соответствии с Трудовым Кодексом Российской Федерации;
- открытия личных банковских счетов работников Организации для перечисления заработной платы;
- перечисление (выплата через кассу по платежной ведомости, расходному кассовому ордеру) заработной платы и других денежных средств, причитающихся работникам Организации;
- осуществление функций, полномочий и обязанностей, возложенных законодательством РФ на организацию, в том числе по предоставлению ПДн в Федеральную налоговую службу России (далее – ФНС), в Пенсионный фонд РФ (далее – ОПФР), в Фонд социального страхования РФ (далее – ФСС), в Федеральный фонд обязательного медицинского страхования (далее – ФОМС), а также в иные государственные органы;
- соблюдение норм и требований по охране труда и обеспечение личной безопасности работников Организации, сохранности имущества;
- направление работника в командировку;
- осуществление контрольно-пропускного режима;
- использование в целях печати визитных карточек;
- публикация информации на внутрикорпоративном портале;
- формирование и ведение кадрового резерва работников;
- оказание материальной помощи;
- организация корпоративного обучения;
- организация и проведение периодического медицинского осмотра;
- обеспечение личной безопасности работников;
- обеспечение сохранности имущества Организации;
- предоставление добровольного медицинского страхования.
4.1.3. Зарегистрированные пользователи веб-сайта Организации:
- предоставление услуг Организации;
- проведение маркетинговых исследований;
- рассылка рекламных материалов.
4.1.4. Пользователи веб-сайта Организации:
- информирование посетителей веб-сайта об услугах Организации.
4.1.5. Посетители Организации:
- осуществление контрольно-пропускного режима;
- обеспечение личной безопасности посетителей.
4.1.6. Сотрудники контрагентов Организации (контрагенты физические лица):
- выполнение обязательств, взятых Организацией в рамках заключенных договоров с контрагентами;
- осуществление контрольно-пропускного режима;
- обеспечение личной безопасности сотрудников контрагентов;
4.1.7. Получатели услуг гостиниц Организации:
- предоставление гостиничных и сопутствующих услуг (в том числе, но не ограничиваясь: услуги питания, санаторно-курортные услуги, аренды помещений, организации мероприятий на территории гостиничного комплекса, и др.);
- оказание маркетинговых услуг посредством информирования об акциях, новостях, специальных предложениях, других продуктах и услугах сети гостиниц «Васта Отель Менеджмент», ресторанов, входящих в сеть «Васта Отель Менеджмент», а также направление оповещений, рекламы, иных информационных материалов о предоставляемых услугах, в статистических иных исследовательских целях. Информирование осуществляется посредством sms-уведомлений, e-mail рассылки.
- рассмотрение обращений пользователей в службу поддержки и предоставление консультаций, помощи в решении вопросов, связанных с оказанием услуг;
- выполнение функций и обязанностей, возложенных на Организацию действующим законодательством Российской Федерации в области миграционного учета
- осуществление функций оператора курортного сбора;
- обеспечение личной безопасности получателей гостиничных услуг Организации;
4.1.8. Получатели услуг онлайн-бронирования, иные пользователи сайта, в т.ч. контрагенты Организации:
- предоставление услуг он-лайн бронирования на сайте www.vastahotels.com;
- авторизация пользователя любым из доступных на сайте www.vastahotels.com способом, в том числе с целью создания для него аккаунта;
- предоставление доступа к сайту www.vastahotels.com и его возможностям (исполнение договоров) в интересах пользователя и по его запросам, в том числе формируемым через пользовательский интерфейс;
- рассмотрение обращений пользователей в службу поддержки и предоставление консультаций, помощи в решении вопросов, связанных с оказанием услуг;
- проведение маркетинговых, статистических, аналитических и иных исследований использования для оптимизации работы сайта, его отдельных возможностей, развития продуктов и услуг от сети «Васта Отель Менеджмент» повышения их удобства для потребителей.
4.1.9. Третьи лица (родственники работников Организации):
- ведение кадрового учета в соответствии с Трудовым Кодексом Российской Федерации;
- оказание материальной помощи работнику Организации.
4.1.10. Бывшие работники Организации:
- выполнение функций и обязанностей, возложенных на Организацию действующим законодательством Российской Федерации.
4.2. Перечень персональных данных (в том числе специальных категорий персональных данных), обрабатываемых в Организации, определяется в соответствии с действующим законодательством Российской Федерации и внутренними нормативными документами Организации с учётом целей обработки персональных данных, указанных в разделе 2 и в соответствии с уведомлением об обработке персональных данных, направленным Организацией в территориальное управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
5. Порядок и условия обработки персональных данных
5.1. Оператором осуществляются следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), удаление.
5.2. Оператором применяются следующие способы обработки персональных данных: смешанная обработка персональных данных с передачей по внутренней сети и сети интернет.
5.3. Обработка персональных данных в Организации осуществляется на основе принципов:
- осуществление обработки персональных данных на законной и справедливой основе;
- недопущения обработки персональных данных после достижения заранее определенных и законных целей;
- недопущения объединения баз данных, содержащих персональные данные, в случаях обработки персональных данных в разных целях;
- обработка только тех персональных данных, которые отвечают целям их обработки;
- соответствие содержания и объема обрабатываемых персональных данных (отсутствие избыточности) заявленным целям обработки;
- обеспечение точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных (принятие мер по удалению или уточнению неполных, или неточных данных).
5.4. Организация самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей по обработке персональных данных, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено федеральными законами Российской Федерации.
5.5. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований для обработки персональных данных без получения такого согласия возлагается на Организацию.
5.6. В Организации назначены работники, ответственные за организацию обработки персональных данных.
5.7. Организация осуществляет обработку персональных данных без использования средств автоматизации и автоматизированную обработку персональных данных, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, с передачей и без передачи по внутренней сети Организации, с передачей и без передачи в сети общего пользования Интернет.
5.8. При обработке персональных данных на бумажных носителях, в том числе при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, Организация (работники Организации) соблюдает требования, установленные «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденным Постановлением Правительства РФ от 15.09.2008 N 687.
5.9. Хранение персональных данных осуществляется Организацией в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. Сроки хранения также устанавливаются договором, стороной которого, выгодоприобретателем по которому является субъект персональных данных, исковой давностью и иными требованиями законодательства, и нормативными документами Российской Федерации.
5.10. Хранение персональных данных на материальных (бумажных) носителях осуществляется Организацией способом, позволяющим исключить несанкционированный доступ к персональным данным, включая использование запираемых на ключ шкафов, тумб, сейфов.
5.11. При сборе персональных данных, в том числе посредством сети Интернет, Организация обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
5.12. Организация в ходе своей деятельности может на основании договора предоставлять и(или) поручать обработку персональных данных третьим лицам с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом Российской Федерации. При этом, условием такого предоставления и(или) поручения является обязанность третьего лица, осуществляющего обработку персональных данных по поручению Организации, соблюдать принципы и правила обработки персональных данных, конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке.
5.13. Организация не размещает персональные данные субъекта персональных данных в общедоступных источниках без его предварительного согласия.
5.14. В Организации не допускается получение и обработка персональных данных о политических, религиозных и иных убеждениях, и частной жизни, а также о членстве в общественных объединениях или профсоюзной деятельности, за исключением случаев, предусмотренных законодательством Российской Федерации.
5.15. Организация не осуществляет обработку персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи без предварительного согласия субъекта персональных данных.
5.16. Передача персональных данных Организацией в адрес третьих лиц осуществляется при наличии согласий субъектов персональных данных или иных случаях, установленных действующим законодательством Российской Федерации. Перечень третьих лиц, в адрес которых Организация может осуществлять передачу и поручение обработки персональных данных располагается по адресу https://rosakhutor.com.
5.17. Указанный перечень сторонних организаций может быть скорректирован в случае изменения его состава.
5.18. В случае поручения обработки персональных данных третьему лицу, ему предъявляются требования принимать необходимые организационные, технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных, в том числе: определение угроз безопасности персональных данных при их обработке в информационных системах; учёт машинных носителей персональных данных; обнаружение фактов несанкционированного доступа к персональным данным и принятием мер; контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных.
5.19. При передаче персональных данных на основе Федерального закона Российской Федерации условия передачи персональных данных устанавливаются соответствующим Федеральным законом.
5.20. Организация в ходе своей деятельности может осуществлять трансграничную передачу персональных данных на территорию иностранных государств органам власти иностранного государства, иностранным физическим или юридическим лицам. При этом вопросы обеспечения адекватной защиты прав субъектов персональных данных и обеспечения безопасности их персональных данных при трансграничной передаче являются наивысшим приоритетом для Организации, решение которых реализуется в соответствии с законодательством Российской Федерации по вопросам обработки персональных данных. Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, осуществляется только в случаях: наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных, исполнения договора, стороной которого является субъект персональных данных, а также в иных предусмотренных законодательством Российской Федерации случаях.
5.21. Организация не осуществляет принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
5.22. Уничтожение документов и носителей, содержащих персональные данные, фиксирование фактов уничтожения и контроль за процессами уничтожения осуществляется в соответствии с внутренними документами Организации.
5.23. Организация осуществляет внутренний контроль и(или) аудит соответствия обработки персональных данных Федеральному закону №152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике и другим внутренним документам Организации в отношении обработки и защите персональных данных.
5.24. Организация проводит оценку вреда, который может быть причинен субъектам персональных данных, соотношение указанного вреда и принимаемых Организациям мер, направленных на обеспечение выполнения обязанностей Организации.
5.25. Работники Организации, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, с настоящей Политикой, внутренними документами Организации по вопросам обработки и защиты персональных данных и обязанностью не раскрытия и не распространения третьим лицам персональных данных без согласия субъекта персональных данных, если иное не предусмотрено Федеральными законами Российской Федерации.
5.2. Оператором применяются следующие способы обработки персональных данных: смешанная обработка персональных данных с передачей по внутренней сети и сети интернет.
5.3. Обработка персональных данных в Организации осуществляется на основе принципов:
- осуществление обработки персональных данных на законной и справедливой основе;
- недопущения обработки персональных данных после достижения заранее определенных и законных целей;
- недопущения объединения баз данных, содержащих персональные данные, в случаях обработки персональных данных в разных целях;
- обработка только тех персональных данных, которые отвечают целям их обработки;
- соответствие содержания и объема обрабатываемых персональных данных (отсутствие избыточности) заявленным целям обработки;
- обеспечение точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных (принятие мер по удалению или уточнению неполных, или неточных данных).
5.4. Организация самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей по обработке персональных данных, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено федеральными законами Российской Федерации.
5.5. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований для обработки персональных данных без получения такого согласия возлагается на Организацию.
5.6. В Организации назначены работники, ответственные за организацию обработки персональных данных.
5.7. Организация осуществляет обработку персональных данных без использования средств автоматизации и автоматизированную обработку персональных данных, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, с передачей и без передачи по внутренней сети Организации, с передачей и без передачи в сети общего пользования Интернет.
5.8. При обработке персональных данных на бумажных носителях, в том числе при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, Организация (работники Организации) соблюдает требования, установленные «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденным Постановлением Правительства РФ от 15.09.2008 N 687.
5.9. Хранение персональных данных осуществляется Организацией в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. Сроки хранения также устанавливаются договором, стороной которого, выгодоприобретателем по которому является субъект персональных данных, исковой давностью и иными требованиями законодательства, и нормативными документами Российской Федерации.
5.10. Хранение персональных данных на материальных (бумажных) носителях осуществляется Организацией способом, позволяющим исключить несанкционированный доступ к персональным данным, включая использование запираемых на ключ шкафов, тумб, сейфов.
5.11. При сборе персональных данных, в том числе посредством сети Интернет, Организация обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
5.12. Организация в ходе своей деятельности может на основании договора предоставлять и(или) поручать обработку персональных данных третьим лицам с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом Российской Федерации. При этом, условием такого предоставления и(или) поручения является обязанность третьего лица, осуществляющего обработку персональных данных по поручению Организации, соблюдать принципы и правила обработки персональных данных, конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке.
5.13. Организация не размещает персональные данные субъекта персональных данных в общедоступных источниках без его предварительного согласия.
5.14. В Организации не допускается получение и обработка персональных данных о политических, религиозных и иных убеждениях, и частной жизни, а также о членстве в общественных объединениях или профсоюзной деятельности, за исключением случаев, предусмотренных законодательством Российской Федерации.
5.15. Организация не осуществляет обработку персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи без предварительного согласия субъекта персональных данных.
5.16. Передача персональных данных Организацией в адрес третьих лиц осуществляется при наличии согласий субъектов персональных данных или иных случаях, установленных действующим законодательством Российской Федерации. Перечень третьих лиц, в адрес которых Организация может осуществлять передачу и поручение обработки персональных данных располагается по адресу https://rosakhutor.com.
5.17. Указанный перечень сторонних организаций может быть скорректирован в случае изменения его состава.
5.18. В случае поручения обработки персональных данных третьему лицу, ему предъявляются требования принимать необходимые организационные, технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных, в том числе: определение угроз безопасности персональных данных при их обработке в информационных системах; учёт машинных носителей персональных данных; обнаружение фактов несанкционированного доступа к персональным данным и принятием мер; контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных.
5.19. При передаче персональных данных на основе Федерального закона Российской Федерации условия передачи персональных данных устанавливаются соответствующим Федеральным законом.
5.20. Организация в ходе своей деятельности может осуществлять трансграничную передачу персональных данных на территорию иностранных государств органам власти иностранного государства, иностранным физическим или юридическим лицам. При этом вопросы обеспечения адекватной защиты прав субъектов персональных данных и обеспечения безопасности их персональных данных при трансграничной передаче являются наивысшим приоритетом для Организации, решение которых реализуется в соответствии с законодательством Российской Федерации по вопросам обработки персональных данных. Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, осуществляется только в случаях: наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных, исполнения договора, стороной которого является субъект персональных данных, а также в иных предусмотренных законодательством Российской Федерации случаях.
5.21. Организация не осуществляет принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
5.22. Уничтожение документов и носителей, содержащих персональные данные, фиксирование фактов уничтожения и контроль за процессами уничтожения осуществляется в соответствии с внутренними документами Организации.
5.23. Организация осуществляет внутренний контроль и(или) аудит соответствия обработки персональных данных Федеральному закону №152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике и другим внутренним документам Организации в отношении обработки и защите персональных данных.
5.24. Организация проводит оценку вреда, который может быть причинен субъектам персональных данных, соотношение указанного вреда и принимаемых Организациям мер, направленных на обеспечение выполнения обязанностей Организации.
5.25. Работники Организации, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, с настоящей Политикой, внутренними документами Организации по вопросам обработки и защиты персональных данных и обязанностью не раскрытия и не распространения третьим лицам персональных данных без согласия субъекта персональных данных, если иное не предусмотрено Федеральными законами Российской Федерации.
6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
6.1. Субъект персональных данных самостоятельно принимает решение о предоставлении Организации его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
6.2. Субъект персональных данных имеет право на получение у Организации следующей информации, касающейся обработки его персональных данных (за исключением случаев, предусмотренных Федеральным законом 152-ФЗ «О персональных данных»):
- подтверждение факта обработки персональных данных;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Организациям способы обработки персональных данных;
- наименование и место нахождения Организации, сведения о лицах (за исключением работников Организации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Организациям или на основании Федерального закона Российской Федерации;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом Российской Федерации;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных своих прав;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Организации, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные федеральными законами Российской Федерации.
6.3. Сведения, указанные в п 6.2. должны быть предоставлены субъекту по его запросу в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
6.4. Организация может ограничить доступ субъекта персональных данных к его персональным данным в случаях, предусмотренных частью 8 статьи 14 Федерального закона №152-ФЗ «О персональных данных»
6.5. Субъект персональных данных вправе отозвать согласие на обработку своих персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Организация вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных законодательством Российской Федерации.
6.6. Субъект персональных данных вправе требовать от Организации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.7. Если субъект персональных данных считает, что Организация осуществляет обработку его персональных данных с нарушением или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Организации в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), www.rsoc.ru) или в судебном порядке.
6.2. Субъект персональных данных имеет право на получение у Организации следующей информации, касающейся обработки его персональных данных (за исключением случаев, предусмотренных Федеральным законом 152-ФЗ «О персональных данных»):
- подтверждение факта обработки персональных данных;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Организациям способы обработки персональных данных;
- наименование и место нахождения Организации, сведения о лицах (за исключением работников Организации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Организациям или на основании Федерального закона Российской Федерации;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом Российской Федерации;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных своих прав;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Организации, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные федеральными законами Российской Федерации.
6.3. Сведения, указанные в п 6.2. должны быть предоставлены субъекту по его запросу в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
6.4. Организация может ограничить доступ субъекта персональных данных к его персональным данным в случаях, предусмотренных частью 8 статьи 14 Федерального закона №152-ФЗ «О персональных данных»
6.5. Субъект персональных данных вправе отозвать согласие на обработку своих персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Организация вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных законодательством Российской Федерации.
6.6. Субъект персональных данных вправе требовать от Организации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.7. Если субъект персональных данных считает, что Организация осуществляет обработку его персональных данных с нарушением или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Организации в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), www.rsoc.ru) или в судебном порядке.
7. Меры по обеспечению безопасности персональных данных при их обработке
7.1. Организация при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
7.2. При построении и поддержании системы обеспечения информационной безопасности (системы защиты персональных данных) Организация руководствуется Федеральным законом №149-ФЗ от 27.02.2006 «Об информации, информационных технологиях и о защите информации», а также иными нормативными документами и Постановлениями Правительства Российской Федерации в области защиты персональных данных.
7.3. Обеспечение безопасности персональных данных достигается:
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных Организации;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Организации, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает соответствующие уровни защищенности персональных данных;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учетом машинных носителей персональных данных;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных Организации, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
7.4. Обеспечение конфиденциальности персональных данных, обрабатываемых в Организации, является обязательным требованием для всех работников Организации, допущенных к обработке персональных данных в связи с исполнением трудовых обязанностей. Все работники, имеющие действующие трудовые отношения, деятельность которых связанна с получением, обработкой и защитой персональных данных, подписывают соглашение о конфиденциальности, проходят инструктажи по обеспечению информационной безопасности под подпись и несут персональную ответственность за соблюдение требований по обработке и обеспечению безопасности персональных данных.
7.2. При построении и поддержании системы обеспечения информационной безопасности (системы защиты персональных данных) Организация руководствуется Федеральным законом №149-ФЗ от 27.02.2006 «Об информации, информационных технологиях и о защите информации», а также иными нормативными документами и Постановлениями Правительства Российской Федерации в области защиты персональных данных.
7.3. Обеспечение безопасности персональных данных достигается:
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных Организации;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Организации, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает соответствующие уровни защищенности персональных данных;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учетом машинных носителей персональных данных;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных Организации, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
7.4. Обеспечение конфиденциальности персональных данных, обрабатываемых в Организации, является обязательным требованием для всех работников Организации, допущенных к обработке персональных данных в связи с исполнением трудовых обязанностей. Все работники, имеющие действующие трудовые отношения, деятельность которых связанна с получением, обработкой и защитой персональных данных, подписывают соглашение о конфиденциальности, проходят инструктажи по обеспечению информационной безопасности под подпись и несут персональную ответственность за соблюдение требований по обработке и обеспечению безопасности персональных данных.
8. Ответственность
8.1. Нарушение требований по защите прав субъектов персональных данных работником Организации при наличии его вины, предусматривает применение мер как дисциплинарного воздействия, так и привлечение к административной, гражданско-правовой и уголовной ответственности в порядке, установленном действующим законодательством Российской Федерации.