1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1.1. С целью поддержания деловой репутации и обеспечения выполнения норм федерального законодательства, согласно требованиям Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», ООО «ДГ-Софт» определяет важнейшими задачами: обеспечение законности обработки Персональных данных в бизнес-процессах ООО «ДГ-Софт» и обеспечение надлежащего уровня безопасности обрабатываемых в ООО «ДГ-Софт» Персональных данных.
1.1.2. Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии с п.2 ч.1 ст.18.1 Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет основные принципы, цели, условия и способы обработки Персональных данных, права и обязанности ООО «ДГ-Софт при обработке Персональных данных, права Субъектов Персональных данных, а также реализуемые в ООО «ДГ-Софт» меры по обеспечению безопасности Персональных данных при осуществлении установленных в Уставе видов деятельности.
1.1.3. Положения настоящей Политики служат основой для разработки локальных актов, регламентирующих в ООО «ДГ- Софт» вопросы обработки Персональных данных.
1.2.1. Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»).
1.2.2. Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации».
1.2.3. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
1.2.4. Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
1.3.1. Действие настоящей Политики распространяется на все процессы ООО «ДГ- Софт», в рамках которых осуществляется обработка Персональных данных, как с использованием средств вычислительной техники, в том числе с использованием информационно-телекоммуникационных сетей, так и без использования таких средств.
1.4.1. Настоящая Политика вступает в силу с момента ее утверждения Генеральным директором ООО «ДГ-Софт» и действует бессрочно.
1.4.2. ООО «ДГ-Софт» проводит пересмотр положений настоящей Политики и их актуализацию по мере необходимости, но не реже одного раза в три года, а также:
1.4.3. При внесении изменений указывается дата последнего обновления редакции. Новая редакция вводится в действие приказом Генерального директора ООО «ДГ-Софт».
1.4.4. Обеспечение неограниченного доступа к Политике реализуется путем ее публикации на сайте ООО «ДГ-Софт» в сети Интернет.
1.4.5. Термины, использованные в настоящей Политики с заглавной буквы, имеют значения, указанные в разделе 2 настоящей Политики, если в настоящей Политики не определено иное.
2. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ
2.1. - (а) в отношении лица, не являющегося физическим лицом, - любое другое лицо, прямо или косвенно Контролирующее, Контролируемое или находящееся под общим Контролем с ООО «ДГ-Софт»; (b) в отношении физического лица – близкий родственник такого лица, управляющий трастом (трасти), бенефициаром которого является такое лицо или близкий родственник такого лица, и любое лицо, не являющееся физическим лицом, которое такое лицо или близкий родственник такого лица прямо или косвенно Контролирует, или которое находится под их общим Контролем. Для целей настоящего определения под Контролем понимается возможность по отношению к лицу или право другого лица (физического лица или юридического лица) прямо либо косвенно (через лицо или несколько лиц), самостоятельно или совместно с Аффилированными лицами, на основании корпоративного договора, договора доверительного управления имуществом, или в результате других сделок либо по иным основаниям: распоряжаться более чем 50% (пятьюдесятью процентами) общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный (складочный) капитал Контролируемого лица; и (или) назначать или прекращать полномочия единоличного исполнительного органа и (или) более чем 50% (пятидесяти процентов) состава коллегиального исполнительного органа Контролируемого лица и (или) избирать более чем 50% (пятьдесят процентов) состава совета директоров (наблюдательного совета) или иного коллегиального органа Контролируемого лица; и (или) определять решения или действия такого лица по всем или существенной части вопросов (фактически или юридически). Термины «Контролируемый», «Контролирует» и «Контролирующий» следует толковать соответствующим образом.
3. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. При организации обработки персональных данных Субъектов персональных данных ООО «ДГ-Софт» руководствуется следующими принципами:
3.2. Для каждой категории Субъектов Персональных данных определены цели обработки Персональных данных, категории и перечень обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения персональных данных. Основная информация приведена в Приложении № 1.
3.3. Реестр процессов актуализируется на регулярной основе, дополняется и обновляется владельцами процессов по согласованию с лицом, ответственным за организацию обработки Персональных данных.
3.4. Актуальный реестра процессов утверждается приказом руководителя общества не реже одного раза в год.
3.5. Информация об актуальных процессах обработки Персональных данных отражается в Реестре процессов, после чего используется для:
4. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. В целях обеспечения прав и свобод человека и гражданина при обработке Персональных данных Оператором соблюдаются следующие требования:
4.2. Субъект самостоятельно принимает решение о предоставлении своих Персональных данных и дает согласие на их обработку Оператором.
4.3. В случае недееспособности Субъекта Персональных данных все Персональные данные Субъекта следует получать от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении Персональных данных своего подопечного и дает согласие на их обработку Оператором.
4.4. Согласие на обработку Персональных данных может быть отозвано Субъектом Персональных данных на основании его письменного запроса или в форме электронного документа, подписанного электронной подписью в соответствии с законодательством РФ, а также иными способами предусмотренными законодательством РФ. В случае, указанном в пункте 4.3 настоящей Политики, согласие может быть отозвано законным представителем Субъекта Персональных данных.
4.5. В случаях, когда Оператор может получить необходимые Персональные данные Субъекта только у третьей стороны, Субъект должен быть уведомлен об этом заранее и от него должно быть получено согласие. В уведомлении Оператор обязан сообщить о целях, способах и источниках получения Персональных данных, а также о характере и перечне подлежащих получению Персональных данных и возможных последствиях отказа Субъекта дать согласие на их получение.
4.6. Если персональные данные получены не от Субъекта персональных данных, Оператор, за исключением случаев, предусмотренных п. 4.7., до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
4.7. Оператор освобождается от обязанности предоставить Субъекту Персональных данных сведения, указанные в п. 4.6. в случаях, если:
4.8. Оператор не имеет права получать и обрабатывать Персональные данные Субъекта, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, его биометрические данные, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», а также Персональные данные Работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым Кодексом РФ или иными федеральными законами. Запрещается запрашивать информацию о состоянии здоровья Работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения Работником трудовой функции.
4.9. При принятии решений, затрагивающих интересы Работника, Оператор не имеет права основываться на Персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных средств доставки.
4.10. Полученные ООО «ДГ-Софт» Персональные данные хранятся на следующих видах носителей:
4.11. Обработка Персональных данных Субъектов осуществляется смешанным путем:
4.12. Обработка Персональных данных осуществляется с соблюдением порядка, предусмотренного Федеральным законом от 27.07.2006 №152 «О персональных данных», Постановлением Правительства от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и Постановлением Правительства Российской Федерации от 01 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
4.13. Документы, содержащие Персональные данные, являются конфиденциальными.
5. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Хранение Персональных данных может осуществляться следующими способами:
- в информационных системах / базах данных ООО «ДГ-Софт»;
- на Служебных средствах вычислительной техники;
- на внешних машинных (электронных) носителях информации.
- в помещениях структурных подразделений, осуществляющих хранение материальных носителей Персональных данных, в специально установленных для этого местах;
- в архиве в соответствии с законодательством РФ об архивном деле.
5.2. Оператор хранит Персональные данные в течение следующих сроков:
5.3. Если в соответствии с требованиями применимого законодательства, предусмотрен иной, более длительный срок хранения какой-либо категории Персональных данных, то он подлежит применению. По истечении срока хранения данные будут уничтожены в порядке, определенном Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных».
5.4. Хранение Персональных данных Субъектов осуществляется структурными подразделениями Оператора в соответствии с перечнем Персональных данных и перечнем информационных систем Персональных данных, утвержденным у Оператора.
5.5. Персональные данные Субъектов преимущественно хранятся на электронных носителях в электронном виде в персональных компьютерах, подключенных к локальной компьютерной сети Оператора. Доступ к электронным базам данных ограничен паролем.
5.6. Доступ к бумажным и электронным носителям Персональных данных получают только те Работники, которым это необходимо для выполнения их должностных обязанностей.
5.7. ООО «ДГ-Софт» обеспечивает необходимые организационные и технические меры для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения Персональных данных, а также от иных неправомерных действий.
5.8. Возможна передача Персональных данных Субъектов по внутренней сети Оператора с использованием технических и программных средств защиты информации, с доступом только для Работников, допущенных к работе с Персональными данными Субъектов и только в объеме, необходимом данным Работникам для выполнения своих должностных обязанностей.
5.9. Подразделения ООО «ДГ-Софт», осуществляющие кадровое делопроизводство, ведут личные дела Работников, в которых содержатся Персональные данные Работников и иные сведения, связанные с трудовой деятельностью Работников. Наряду с копиями документов и личными заявлениями к личному делу Работника приобщается анкета, заполненная Работником. Личные дела, трудовые договоры и трудовые книжки Работников хранятся в помещениях кадровых служб в несгораемых шкафах (сейфах). Ответственность за хранение указанных документов возлагается на руководителя кадрового подразделения.
5.10. Персональные данные Работников на бумажных носителях хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам в специально отведенной секции сейфа (или шкафах), обеспечивающего защиту от несанкционированного доступа.
5.11. Доступ к Персональным данным Работников на бумажных носителях осуществляется в порядке, предусмотренном Разделом 7 настоящего Положения.
5.12. Подразделения Оператора, хранящие Персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному Постановлением Правительства РФ 15 сентября 2008 г. №687.
5.13. Хранение Персональных данных должно осуществляться в форме, позволяющей определить Субъекта Персональных данных, не дольше, чем этого требуют цели обработки Персональных данных, если срок хранения Персональных данных не установлен Федеральным законом №152-ФЗ «О персональных данных» или соответствующим договором. Обрабатываемые Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.
5.14. Хранение документов, содержащих Персональные данные Субъектов, осуществляется в течение установленных действующими нормативными или локальными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению.
6. ВНУТРЕННИЙ ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
6.1. Доступ к Персональным данным Субъектов имеют Работники Оператора, допущенные к работе с Персональными данными Субъектов. Данным категориям сотрудников в их должностные обязанности включается пункт о сохранении конфиденциальности обрабатываемой информации.
6.2. При предоставлении доступа к Персональным данным Оператор должен соблюдать следующие требования:
6.3. Доступ к Персональным данным предоставляется Работнику ООО «ДГ-Софт» в соответствии с приказом о назначении должностных лиц, которым необходим доступ к Персональным данным в целях выполнения их функциональных обязанностей, утвержденным генеральным директором ООО «ДГ-Софт». В приложении к указанному приказу определен перечень должностей, непосредственно использующих Персональные данные в служебных целях, которые имеют право обрабатывать только те Персональные данные, которые необходимы им для выполнения конкретных функций в соответствии с должностной инструкцией указанных лиц.
6.4. Руководители структурных подразделений Оператора имеют доступ к Персональным данным Работников соответствующих структурных подразделений в порядке административной и функциональной подчиненности.
6.5. Остальные Работники ООО «ДГ-Софт» получают доступ к Персональным данным других Работников в установленном действующим законодательством и настоящим Положением порядке.
6.6. При осуществлении доступа работника к информационным системам / базам данных ему должен быть предоставлен минимальный набор прав доступа в рамках закрепленной за пользователем роли. В информационных системах реализуется контроль доступа пользователя к Персональным данным.
6.7. Доступ работника к обрабатываемым Персональным данным прекращается в случае отсутствия (минования) производственной необходимости, изменения функциональных и должностных обязанностей, длительного отпуска, увольнения работника. В целях надлежащей организации производственного процесса и обеспечения оптимального взаимодействия между подразделениями и отдельными Работниками все работники ООО «ДГ-Софт» имеют доступ к информационной системе «Планета», размещенной на корпоративном сайте https://planeta.2gis.ru/, содержащим следующую информацию о Работниках:
6.8. Работники ООО «ДГ-Софт», получающие Персональные данные, обязаны:
6.9. Субъект Персональных данных, данные о котором обрабатываются в ООО «ДГ-Софт», имеет право на свободный доступ к своим Персональным данным, получение копий своих Персональных данных (за исключением случаев, предусмотренных федеральным законом) на основании его письменного запроса.
6.10. ООО «ДГ-Софт» обязано в порядке, предусмотренном Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных», сообщить Субъекту Персональных данных или его законному представителю информацию о наличии Персональных данных, относящихся к соответствующему Субъекту Персональных данных, а также предоставить возможность ознакомления с ними при обращении Субъекта Персональных данных или его законного представителя или в течение десяти рабочих дней с даты получения запроса Субъекта Персональных данных или его законного представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
7. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. При передаче Персональных данных Субъекта Оператор обязан соблюдать следующие требования:
7.2. Лица, получающие Персональные данные Субъекта, обязаны соблюдать требования конфиденциальности.
7.3. Передача Персональных данных Субъектов третьим лицам осуществляется Оператором только с их надлежащего согласия, за исключением случаев, если:
7.4. В случае оформления письменного согласия Субъекта на передачу его Персональных данных третьим лицам, согласие должно включать в себя:
7.5. В случае смерти Субъекта согласие на обработку его Персональных данных дают в письменной форме наследники Субъекта, если такое согласие не было дано Работником при его жизни.
7.6. Согласия Работника на распространение его Персональных данных не требуется, в случае обезличивания Персональных данных.
7.7. Информация, относящаяся к Персональным данным Работника, может быть предоставлена государственным органам и органам местного самоуправления в пределах их полномочий, установленных федеральными законами. Основанием для передачи Персональных данных Работника является мотивированный требованиями законодательства или решением суда письменный запрос от должностного лица соответствующего государственного органа или органа местного самоуправления, подписанный руководителем данного органа, заверенный гербовой печатью.
7.8. Родственники и члены семьи Работника доступ к его Персональным данным не имеют.
7.9. В случае если лицо, обратившееся с запросом о предоставлении Персональных данных, не уполномочено федеральным законом, настоящей Политикой, другими локальными нормативными актами ООО «ДГ-Софт» на получение Персональных данных Субъекта, либо отсутствует надлежащее согласие Субъекта на предоставление его Персональных данных, Оператор обязан отказать в предоставлении Персональных данных Субъекта указанному лицу.
7.10. Все меры конфиденциальности при сборе, обработке и хранении Персональных данных Субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
7.11. В случае если ООО «ДГ-Софт» пользуется услугами третьих лиц на основании заключенных договоров (либо иных оснований), и в силу данных договоров они должны иметь доступ к Персональным данным, обрабатываемым ООО «ДГ-Софт», то соответствующие Персональные данные предоставляются ООО «ДГ-Софт» только после подписания с данными лицами соглашения о неразглашении Персональных данных или включения в договоры пунктов о неразглашении Персональных данных, в том числе предусматривающих защиту Персональных данных.
7.12. Все типовые формы договоров ООО «ДГ-Софт» должны содержать положения про обработку персональных данных для того, чтобы исключить риск незаконной обработки персональных данных со стороны контрагента.
7.13. В случае заключения расходного/доходного договора с условием об использовании персональных данных контактных лиц за пределами срока действия договора, условие об этом необходимо включить в договор.
7.14. В случае поручения ООО «ДГ-Софт» обработчику обработки персональных данных, необходимо включить положение об этом в договор.
7.15. Лицо, осуществляющее обработку персональных данных по поручению ООО «ДГ-Софт» должно соответствовать требованиям, предусмотренным Федеральным закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
7.16. В поручении должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных по поручению ООО «ДГ-Софт», цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федеральным закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», обязанность по запросу ООО «ДГ-Софт» в течение срока действия поручения, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения ООО «ДГ-Софт» требований, настоящего пункта, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных», в том числе требование об уведомлении ООО «ДГ-Софт» о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона «О персональных данных».
7.17. В случае передачи персональных данных, необходимо включить положение об этом в договор.
8. БЛОКИРОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Блокирование Персональных данных конкретного Субъекта Персональных данных должно осуществляться во всех информационных системах Персональных данных ООО «ДГ-Софт», включая архивы баз данных, содержащих такие Персональные данные.
8.2. Блокирование Персональных данных в ООО «ДГ-Софт» осуществляется:
8.3. После устранения выявленной неправомерной обработки Персональных данных ООО «ДГ-Софт» осуществляет снятие блокирования Персональных данных. Решение о блокировании и снятии блокирования Персональных данных принимается лицом, ответственным за организацию обработки Персональных данных в ООО «ДГ-Софт».
9. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Персональные данные хранятся в течение срока, определенного в разделе 6 настоящей Политики, и подлежат уничтожению по достижении целей обработки, истечения срока или в случае утраты необходимости в их достижении.
9.2. Документы, содержащие Персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном настоящей Политикой и архивным законодательством Российской Федерации.
9.3. Уничтожение документов, содержащих Персональные данные, производится:
9.4. Уничтожение Персональных данных, находящихся на машинных носителях информации, выполняется средствами информационной системы (операционной системы, системы управления базами данных).
9.5. Уничтожение материальных носителей с Персональными данными осуществляется согласно документу «Регламент по организации обращения с защищаемыми носителями персональных данных».
9.6. Компания осуществляет документирование фактов уничтожения ПДн в ИСПДн и на материальных носителях, в соответствии с Требованиями к подтверждению уничтожения ПДн, утвержденными Приказом Роскомнадзора от 28.10.2022 № 179 (далее – Приказ № 179), Актом Акт об уничтожении персональных данных в базах данных, на материальных (бумажных, электронных) носителях по форме (далее – Акт).
9.7. В случае если Компания подтверждает уничтожение ПДн в ИСПДн, то к Акту необходимо приложить также выгрузку из журнала регистрации событий в ИСПДн.
9.8. В случае если выгрузка журнала регистрации событий в ИСПДн не позволяет указать отдельные сведения, предусмотренные Приказом № 179, то допускается указывать такие сведения в Акте.
10. ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
10.1. Методы и способы защиты Персональных данных в информационных системах Оператора должны соответствовать требованиям, установленным:
10.2. При обработке Персональных данных должны приниматься необходимые организационные и технические меры для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения Персональных данных, а также от иных неправомерных действий.
10.3. Обмен Персональными данными при их обработке в информационных системах Персональных данных осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.
10.4. Размещение информационных систем Персональных данных, специальное оборудование и охрана помещений, в которых ведется работа с Персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей Персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
10.5. Для осуществления мероприятий по защите Персональных данных при их обработке в информационных системах Персональных данных системы защиты могут включать в себя следующие подсистемы: управления доступом; регистрации и учета; обеспечения целостности; антивирусной защиты; обеспечения безопасности межсетевого взаимодействия; анализа защищенности; обнаружения вторжений.
10.6. Для обеспечения безопасности Персональных данных при необходимости осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
10.7. В целях обеспечения безопасности Персональных данных при их обработке в информационных системах Персональных данных организуется контроль соблюдения условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией, а также разбирательство и составление заключений по фактам несоблюдения условий доступа к Персональным данным, использования средств защиты информации, которые могут привести к нарушениям конфиденциальности Персональных данных.
10.8. При обнаружении нарушений порядка предоставления Персональных данных незамедлительно приостанавливается предоставление Персональных данных пользователям информационной системы Персональных данных, получивших их с нарушением установленного порядка, до выявления причин нарушений и устранения этих причин.
10.9. Также в ООО «ДГ-Софт» применяются следующие меры по обеспечению безопасности персональных данных:
10.10. Ответственность за организацию защиты Персональных данных в информационных системах Персональных данных возлагается на подразделения безопасности и информационных технологий.
11. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ОПЕРАТОРА
11.1. В целях обеспечения защиты Персональных данных Субъекты имеют право:
11.2. Для защиты Персональных данных Субъектов Оператор обязан:
11.3. Защита информации, содержащей Персональные данные, представляет собой принятие Оператором правовых, организационных и технических мер, направленных на:
11.4. Система защиты Персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности Персональных данных и информационных технологий, используемых в информационных системах в соответствии с Постановлением Правительства РФ от 01 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
11.5. Для обеспечения безопасности Персональных данных Субъектов при неавтоматизированной обработке Оператором предпринимаются следующие меры:
Определяются места хранения Персональных данных Субъектов, которые оснащаются следующими средствами защиты:
11.6. Обработка, уточнение, уничтожение или блокирование Персональных данных Субъектов при осуществлении их обработки без использования средств автоматизации осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
11.7. Для обеспечения безопасности Персональных данных Субъектов Оператором при автоматизированной обработке предпринимаются следующие меры:
11.8. ООО «ДГ-Софт» осуществляет регулярный мониторинг изменений законодательства о персональных данных и в случае необходимости осуществляет информирование работников о соответствующих изменениях.
11.9. В случае изменения сведений, направленных ООО «ДГ-Софт» в уполномоченный орган по защите прав субъектов персональных данных в уведомлении об обработке персональных данных, ООО «ДГ-Софт» не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить уполномоченный орган по защите прав субъектов персональных данных обо всех произошедших за указанный период изменениях.
12. ТРЕБОВАНИЯ К СОГЛАСИЮ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1. Согласие на обработку персональных данных должно отвечать следующим требованиям:
12.2. Обработка персональных данных Субъектов в целях продвижения товаров, работ, услуг на рынке путем прямых контактов с Субъектом с помощью средств связи должна осуществляться только при условии предварительного согласия Субъекта. При этом необходимо обеспечить наличие доказательственной базы получения такого согласия. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в целях продвижения товаров, работ, услуг на рынке путем прямых контактов.
12.3. Согласие Субъекта в письменной форме и в форме электронного документа.
12.4. Оператор персональных данных, обязан получать согласие Субъекта в письменной форме в следующих случаях:
12.5. Содержание согласие Субъекта в письменной форме должно отвечать требованиям ч. 4 ст. 9 федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных»:
12.6. Согласие Субъекта в письменной форме оформляется на бумажном носителе с собственноручной подписью Субъекта или его представителя. Равнозначным, содержащему собственноручную подпись Субъекта, согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с требованиями федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».
12.7. Согласие Субъекта в любой форме
12.8. В случаях, не требующих в соответствии с действующим законодательством оформлять Оператору согласие в письменной форме, может быть получено согласие в любой форме с применением сервисов Оператора, принадлежащих или используемых Оператором, позволяющей подтвердить факт его получения. К таким случаям относятся получение согласий в письменной форме и в форме электронного документа, а также в случаях совершения Субъектом явного действия, например, но не ограничиваясь:
12.9. Обеспечение доказательств наличия правовых оснований на обработку персональных данных.
12.10. Оператор осуществляет учет и хранение согласий в течение срока действия согласия, увеличенного на три года (общий срок исковой давности).
12.11. В соответствии с требованиями федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных» по запросу уполномоченного органа или Субъекта Оператор обязан предоставить доказательство получения согласия Субъекта на обработку его персональных данных или доказательство наличия иных оснований обработки персональных данных.
12.12. Подтверждением факта получения согласия на бумажном носителе является бланк согласия с собственноручной подписью Субъекта или его представителя и указанием даты его подписи.
12.13. Хранение Согласий, оформленных на бумажном носителе, в зависимости от вида осуществляется в ответственных подразделениях оператора.
12.14. При получении согласия от представителя Субъекта Оператору необходимо осуществлять хранение документов, подтверждающих полномочия представителя, в течение срока, установленного для хранения согласий. Хранение документов, подтверждающих полномочия представителя, осуществляется совместно с согласиями.
12.15. Место хранения согласий, а также лица ответственные за организацию хранения, определяется внутренним локальным нормативным документом Оператора.
12.16. В целях обеспечения подтверждения получения Оператором согласий в электронном виде, в информационных системах Оператора должны быть реализованы функции учета полученных согласий и хранение подтверждений (с возможностью их выгрузки для последующей печати).
13. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
13.1. Лица, виновные в нарушении требований законодательства о персональных данных, несут ответственность, предусмотренную действующим законодательством Российской Федерации.
Редакция от 28.03.2024