ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ООО «ДГ-СОФТ»

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1 Назначение документа

1.1.1. С целью поддержания деловой репутации и обеспечения выполнения норм федерального законодательства, согласно требованиям Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», ООО «ДГ-Софт» определяет важнейшими задачами: обеспечение законности обработки Персональных данных в бизнес-процессах ООО «ДГ-Софт» и обеспечение надлежащего уровня безопасности обрабатываемых в ООО «ДГ-Софт» Персональных данных.

1.1.2. Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии с п.2 ч.1 ст.18.1 Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет основные принципы, цели, условия и способы обработки Персональных данных, права и обязанности ООО «ДГ-Софт при обработке Персональных данных, права Субъектов Персональных данных, а также реализуемые в ООО «ДГ-Софт» меры по обеспечению безопасности Персональных данных при осуществлении установленных в Уставе видов деятельности.

1.1.3. Положения настоящей Политики служат основой для разработки локальных актов, регламентирующих в ООО «ДГ- Софт» вопросы обработки Персональных данных.

1.2.1. Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»).

1.2.2. Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации».

1.2.3. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

1.2.4. Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

1.3.1. Действие настоящей Политики распространяется на все процессы ООО «ДГ- Софт», в рамках которых осуществляется обработка Персональных данных, как с использованием средств вычислительной техники, в том числе с использованием информационно-телекоммуникационных сетей, так и без использования таких средств.

1.4.1. Настоящая Политика вступает в силу с момента ее утверждения Генеральным директором ООО «ДГ-Софт» и действует бессрочно.

1.4.2. ООО «ДГ-Софт» проводит пересмотр положений настоящей Политики и их актуализацию по мере необходимости, но не реже одного раза в три года, а также:

при изменении требований законодательства РФ к порядку обработки и обеспечению безопасности Персональных данных;
по результатам проверок органа по защите прав Субъектов Персональных данных, выявившим несоответствия требованиям законодательства РФ по обеспечению безопасности Персональных данных;
в случае выявления существенных нарушений по результатам внутренних проверок системы защиты Персональных данных;
при изменении процессов и технологий обработки Персональных данных в ООО «ДГ-Софт».

1.4.3. При внесении изменений указывается дата последнего обновления редакции. Новая редакция вводится в действие приказом Генерального директора ООО «ДГ-Софт».

1.4.4. Обеспечение неограниченного доступа к Политике реализуется путем ее публикации на сайте ООО «ДГ-Софт» в сети Интернет.

1.4.5. Термины, использованные в настоящей Политики с заглавной буквы, имеют значения, указанные в разделе 2 настоящей Политики, если в настоящей Политики не определено иное.

2. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ

2.1. - (а) в отношении лица, не являющегося физическим лицом, - любое другое лицо, прямо или косвенно Контролирующее, Контролируемое или находящееся под общим Контролем с ООО «ДГ-Софт»; (b) в отношении физического лица – близкий родственник такого лица, управляющий трастом (трасти), бенефициаром которого является такое лицо или близкий родственник такого лица, и любое лицо, не являющееся физическим лицом, которое такое лицо или близкий родственник такого лица прямо или косвенно Контролирует, или которое находится под их общим Контролем. Для целей настоящего определения под Контролем понимается возможность по отношению к лицу или право другого лица (физического лица или юридического лица) прямо либо косвенно (через лицо или несколько лиц), самостоятельно или совместно с Аффилированными лицами, на основании корпоративного договора, договора доверительного управления имуществом, или в результате других сделок либо по иным основаниям: распоряжаться более чем 50% (пятьюдесятью процентами) общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный (складочный) капитал Контролируемого лица; и (или) назначать или прекращать полномочия единоличного исполнительного органа и (или) более чем 50% (пятидесяти процентов) состава коллегиального исполнительного органа Контролируемого лица и (или) избирать более чем 50% (пятьдесят процентов) состава совета директоров (наблюдательного совета) или иного коллегиального органа Контролируемого лица; и (или) определять решения или действия такого лица по всем или существенной части вопросов (фактически или юридически). Термины «Контролируемый», «Контролирует» и «Контролирующий» следует толковать соответствующим образом.

3. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. При организации обработки персональных данных Субъектов персональных данных ООО «ДГ-Софт» руководствуется следующими принципами:

законности целей и способов обработки Персональных данных;
добросовестности и справедливости;
обработки только Персональных данных, которые отвечают целям их обработки;
обеспечения точности Персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки Персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных, или неточных данных;
соответствия целей обработки Персональных данных целям, заранее определенным и заявленным при сборе Персональных данных, а также полномочиям Оператора;
соответствия содержания и объема обрабатываемых Персональных данных, способов обработки Персональных данных заявленным целям обработки. Обрабатываемые Персональные данные не являются избыточными по отношению к заявленным целям обработки;
достоверности Персональных данных, их достаточности для целей обработки, недопустимости обработки Персональных данных, избыточных по отношению к целям, заявленным при сборе Персональных данных;
недопустимости объединения баз данных, содержащих Персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
хранения Персональных данных в форме, позволяющей определить Субъекта Персональных данных, не дольше, чем этого требуют цели их обработки. Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.2. Для каждой категории Субъектов Персональных данных определены цели обработки Персональных данных, категории и перечень обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения персональных данных. Основная информация приведена в Приложении № 1.

3.3. Реестр процессов актуализируется на регулярной основе, дополняется и обновляется владельцами процессов по согласованию с лицом, ответственным за организацию обработки Персональных данных.

3.4. Актуальный реестра процессов утверждается приказом руководителя общества не реже одного раза в год.

3.5. Информация об актуальных процессах обработки Персональных данных отражается в Реестре процессов, после чего используется для:

формирования или актуализации внутренних локальных документов, связанных с обработкой и защитой персональных данных и другой локальной документации, касающейся обработки Персональных данных;
направления Уведомления или Информационного письма в Роскомнадзор;
разработки внутренних нормативных документов Компании;
выстраивания системы защиты и обработки Персональных данных;
проведения внутренних аудитов процессов обработки и защиты Персональных данных;
подготовки ответов на запросы субъектов Персональных данных, их представителей и уполномоченных органов;
в иных целях, связанных с обработкой и защитой персональных данных.

4. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. В целях обеспечения прав и свобод человека и гражданина при обработке Персональных данных Оператором соблюдаются следующие требования:

обработка Персональных данных может осуществляться исключительно для обеспечения соблюдения целей, указанных в разделе 3 настоящей Политики;
Субъекты Персональных данных или их законные представители имеют право ознакомиться с документами Оператора, устанавливающими порядок обработки Персональных данных Субъектов, а также их права и обязанности в этой области;
Субъекты Персональных данных не должны отказываться от своих прав на сохранение и защиту Персональных данных.

4.2. Субъект самостоятельно принимает решение о предоставлении своих Персональных данных и дает согласие на их обработку Оператором.

4.3. В случае недееспособности Субъекта Персональных данных все Персональные данные Субъекта следует получать от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении Персональных данных своего подопечного и дает согласие на их обработку Оператором.

4.4. Согласие на обработку Персональных данных может быть отозвано Субъектом Персональных данных на основании его письменного запроса или в форме электронного документа, подписанного электронной подписью в соответствии с законодательством РФ, а также иными способами предусмотренными законодательством РФ. В случае, указанном в пункте 4.3 настоящей Политики, согласие может быть отозвано законным представителем Субъекта Персональных данных.

4.5. В случаях, когда Оператор может получить необходимые Персональные данные Субъекта только у третьей стороны, Субъект должен быть уведомлен об этом заранее и от него должно быть получено согласие. В уведомлении Оператор обязан сообщить о целях, способах и источниках получения Персональных данных, а также о характере и перечне подлежащих получению Персональных данных и возможных последствиях отказа Субъекта дать согласие на их получение.

4.6. Если персональные данные получены не от Субъекта персональных данных, Оператор, за исключением случаев, предусмотренных п. 4.7., до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
цель обработки персональных данных и ее правовое основание;
перечень персональных данных;
предполагаемые пользователи персональных данных;
права субъекта персональных данных;
источник получения персональных данных.

4.7. Оператор освобождается от обязанности предоставить Субъекту Персональных данных сведения, указанные в п. 4.6. в случаях, если:

Субъект Персональных данных уведомлен об осуществлении обработки его Персональных данных Оператором;
Персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого, либо выгодоприобретателем, или поручителем, по которому является Субъект Персональных данных;
Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона “О персональных данных” № 152-ФЗ от 27.07.2006 года;
Оператор осуществляет обработку Персональных данных для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы Субъекта Персональных данных;
предоставление Субъекту Персональных данных указанных выше сведений нарушает права и законные интересы третьих лиц.

4.8. Оператор не имеет права получать и обрабатывать Персональные данные Субъекта, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, его биометрические данные, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», а также Персональные данные Работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым Кодексом РФ или иными федеральными законами. Запрещается запрашивать информацию о состоянии здоровья Работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения Работником трудовой функции.

4.9. При принятии решений, затрагивающих интересы Работника, Оператор не имеет права основываться на Персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных средств доставки.

4.10. Полученные ООО «ДГ-Софт» Персональные данные хранятся на следующих видах носителей:

Бумажные носители (в том числе личные дела, трудовые договоры, трудовые книжки Работников);
Электронные носители (в том числе корпоративные автоматизированные информационные системы).

4.11. Обработка Персональных данных Субъектов осуществляется смешанным путем:

неавтоматизированным способом обработки Персональных данных;
автоматизированным способом обработки Персональных данных (с помощью ПЭВМ и специальных программных продуктов).

4.12. Обработка Персональных данных осуществляется с соблюдением порядка, предусмотренного Федеральным законом от 27.07.2006 №152 «О персональных данных», Постановлением Правительства от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и Постановлением Правительства Российской Федерации от 01 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

4.13. Документы, содержащие Персональные данные, являются конфиденциальными.

5. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Хранение Персональных данных может осуществляться следующими способами:

в электронном виде:

- в информационных системах / базах данных ООО «ДГ-Софт»;

- на Служебных средствах вычислительной техники;

- на внешних машинных (электронных) носителях информации.

на бумажном носителе:

- в помещениях структурных подразделений, осуществляющих хранение материальных носителей Персональных данных, в специально установленных для этого местах;

- в архиве в соответствии с законодательством РФ об архивном деле.

5.2. Оператор хранит Персональные данные в течение следующих сроков:

Персональные данные Работников, хранятся в течение срока действия трудовых договоров с Работниками и 6 лет, следующих за датой прекращения трудовых отношений;
Персональные данные родственников Работников хранятся в течение срока действия трудовых договоров с Работниками;
Персональные данные Соискателей хранятся в течение 10 лет;
Персональные данные работников Партнеров и Аффилированных лиц хранятся в течение срока действия трудового договора таких работников с Партнером или Аффилированным лицом;
Персональные данные Контрагентов, работников и/или представителей Контрагентов ООО «ДГ-Софт» хранятся в пределах срока действия соответствующего договора и в течение 10 лет после прекращения его действия, если меньший срок не будет согласован сторонами договора отдельно;
Персональные данные членов органов управления ООО «ДГ-Софт» хранятся в течение 5 лет после выхода члена из состава органа управления.

5.3. Если в соответствии с требованиями применимого законодательства, предусмотрен иной, более длительный срок хранения какой-либо категории Персональных данных, то он подлежит применению. По истечении срока хранения данные будут уничтожены в порядке, определенном Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных».

5.4. Хранение Персональных данных Субъектов осуществляется структурными подразделениями Оператора в соответствии с перечнем Персональных данных и перечнем информационных систем Персональных данных, утвержденным у Оператора.

5.5. Персональные данные Субъектов преимущественно хранятся на электронных носителях в электронном виде в персональных компьютерах, подключенных к локальной компьютерной сети Оператора. Доступ к электронным базам данных ограничен паролем.

5.6. Доступ к бумажным и электронным носителям Персональных данных получают только те Работники, которым это необходимо для выполнения их должностных обязанностей.

5.7. ООО «ДГ-Софт» обеспечивает необходимые организационные и технические меры для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения Персональных данных, а также от иных неправомерных действий.

5.8. Возможна передача Персональных данных Субъектов по внутренней сети Оператора с использованием технических и программных средств защиты информации, с доступом только для Работников, допущенных к работе с Персональными данными Субъектов и только в объеме, необходимом данным Работникам для выполнения своих должностных обязанностей.

5.9. Подразделения ООО «ДГ-Софт», осуществляющие кадровое делопроизводство, ведут личные дела Работников, в которых содержатся Персональные данные Работников и иные сведения, связанные с трудовой деятельностью Работников. Наряду с копиями документов и личными заявлениями к личному делу Работника приобщается анкета, заполненная Работником. Личные дела, трудовые договоры и трудовые книжки Работников хранятся в помещениях кадровых служб в несгораемых шкафах (сейфах). Ответственность за хранение указанных документов возлагается на руководителя кадрового подразделения.

5.10. Персональные данные Работников на бумажных носителях хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам в специально отведенной секции сейфа (или шкафах), обеспечивающего защиту от несанкционированного доступа.

5.11. Доступ к Персональным данным Работников на бумажных носителях осуществляется в порядке, предусмотренном Разделом 7 настоящего Положения.

5.12. Подразделения Оператора, хранящие Персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному Постановлением Правительства РФ 15 сентября 2008 г. №687.

5.13. Хранение Персональных данных должно осуществляться в форме, позволяющей определить Субъекта Персональных данных, не дольше, чем этого требуют цели обработки Персональных данных, если срок хранения Персональных данных не установлен Федеральным законом №152-ФЗ «О персональных данных» или соответствующим договором. Обрабатываемые Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.

5.14. Хранение документов, содержащих Персональные данные Субъектов, осуществляется в течение установленных действующими нормативными или локальными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению.

6. ВНУТРЕННИЙ ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

6.1. Доступ к Персональным данным Субъектов имеют Работники Оператора, допущенные к работе с Персональными данными Субъектов. Данным категориям сотрудников в их должностные обязанности включается пункт о сохранении конфиденциальности обрабатываемой информации.

6.2. При предоставлении доступа к Персональным данным Оператор должен соблюдать следующие требования:

разрешать доступ к Персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те Персональные данные, которые необходимы для выполнения конкретных функций;
не запрашивать информацию о состоянии здоровья Работника ООО «ДГ-Софт», за исключением тех сведений, которые относятся к вопросу о возможности выполнения Работником трудовой функции.

6.3. Доступ к Персональным данным предоставляется Работнику ООО «ДГ-Софт» в соответствии с приказом о назначении должностных лиц, которым необходим доступ к Персональным данным в целях выполнения их функциональных обязанностей, утвержденным генеральным директором ООО «ДГ-Софт». В приложении к указанному приказу определен перечень должностей, непосредственно использующих Персональные данные в служебных целях, которые имеют право обрабатывать только те Персональные данные, которые необходимы им для выполнения конкретных функций в соответствии с должностной инструкцией указанных лиц.

6.4. Руководители структурных подразделений Оператора имеют доступ к Персональным данным Работников соответствующих структурных подразделений в порядке административной и функциональной подчиненности.

6.5. Остальные Работники ООО «ДГ-Софт» получают доступ к Персональным данным других Работников в установленном действующим законодательством и настоящим Положением порядке.

6.6. При осуществлении доступа работника к информационным системам / базам данных ему должен быть предоставлен минимальный набор прав доступа в рамках закрепленной за пользователем роли. В информационных системах реализуется контроль доступа пользователя к Персональным данным.

6.7. Доступ работника к обрабатываемым Персональным данным прекращается в случае отсутствия (минования) производственной необходимости, изменения функциональных и должностных обязанностей, длительного отпуска, увольнения работника. В целях надлежащей организации производственного процесса и обеспечения оптимального взаимодействия между подразделениями и отдельными Работниками все работники ООО «ДГ-Софт» имеют доступ к информационной системе «Планета», размещенной на корпоративном сайте https://planeta.2gis.ru/, содержащим следующую информацию о Работниках:

фамилия, имя, отчество;
дата рождения;
рабочий номер телефона;
мобильный номер телефона;
адрес корпоративной электронной почты;
адрес личной электронной почты;
адреса личных страниц в социальных сетях;
имя (никнейм) в программных продуктах, используемых Работником для связи;
офис (идентификатор места работы);
занимаемая должность;
компания (компания работодателя / представляемого лица);
фотографические изображения;
город местонахождения работника;
страна местонахождения работника;
хобби и увлечения работника.

6.8. Работники ООО «ДГ-Софт», получающие Персональные данные, обязаны:

выполнять требования настоящего Положения по обеспечению защиты Персональных данных;
пресекать действия других лиц, которые могут привести к разглашению Персональных данных;
использовать Персональные данные только в целях выполнения функциональных обязанностей;
использовать в своей работе лишь те Персональные данные, которые действительно необходимы для полноценного выполнения функциональных обязанностей;
при составлении документов, включающих Персональные данные, ограничиваться минимальными, действительно необходимыми, сведениями и количеством экземпляров;
документы, содержащие Персональные данные, во время работы располагать так, чтобы исключить возможность ознакомления с ними других лиц, в том числе допущенных к подобным сведениям, но не имеющих к ним прямого отношения;
об утрате или недостаче документов, содержащих Персональные данные, немедленно сообщать своему непосредственному руководителю;
отказывать в предоставлении Персональных данных третьим лицам без письменного разрешения ООО «ДГ-Софт» или уполномоченного им лица;
в случае увольнения сдать непосредственному руководителю все служебные документы, содержащие Персональные данные (бумажные, электронные носители), которые находились в его распоряжении в связи с выполнением функциональных обязанностей во время работы в ООО «ДГ-Софт».

6.9. Субъект Персональных данных, данные о котором обрабатываются в ООО «ДГ-Софт», имеет право на свободный доступ к своим Персональным данным, получение копий своих Персональных данных (за исключением случаев, предусмотренных федеральным законом) на основании его письменного запроса.

6.10. ООО «ДГ-Софт» обязано в порядке, предусмотренном Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных», сообщить Субъекту Персональных данных или его законному представителю информацию о наличии Персональных данных, относящихся к соответствующему Субъекту Персональных данных, а также предоставить возможность ознакомления с ними при обращении Субъекта Персональных данных или его законного представителя или в течение десяти рабочих дней с даты получения запроса Субъекта Персональных данных или его законного представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

7. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. При передаче Персональных данных Субъекта Оператор обязан соблюдать следующие требования:

не сообщать Персональные данные Субъекта третьей стороне без надлежащего согласия Субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, а также в случаях, предусмотренных действующим законодательством;
не сообщать Персональные данные Субъекта в коммерческих целях без его надлежащего согласия;
передавать Персональные данные Субъекта представителям Субъекта в порядке, установленном действующим законодательством, и ограничивать эту информацию только теми Персональными данными Субъекта, которые необходимы для выполнения указанными представителями их функций;
предупредить лиц, получающих Персональные данные Субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

7.2. Лица, получающие Персональные данные Субъекта, обязаны соблюдать требования конфиденциальности.

7.3. Передача Персональных данных Субъектов третьим лицам осуществляется Оператором только с их надлежащего согласия, за исключением случаев, если:

передача необходима для защиты жизни и здоровья Субъекта, либо других лиц и получение его согласия невозможно;
по запросу органов дознания, следствия и суда в связи с проведением расследования или судебным разбирательством;
передача Персональных данных осуществляется в рамках исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект Персональных данных, кроме случаев, требующих наличие согласия Субъекта Персональных данных;
в иных случаях, прямо предусмотренных федеральными законами.

7.4. В случае оформления письменного согласия Субъекта на передачу его Персональных данных третьим лицам, согласие должно включать в себя:

фамилию, имя, отчество, адрес Субъекта, серию, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
наименование (фамилию, имя, отчество) и адрес физического или юридического лица, получающего с согласия Субъекта его Персональные данные;
цель обработки Персональных данных Субъекта третьей стороной;
перечень Персональных данных, на передачу которых дается согласие Субъекта;
перечень действий третьей стороны с Персональными данными, на совершение которых дается согласие, общее описание используемых третьей стороной способов обработки Персональных данных;
срок, в течение которого действует согласие, а также порядок его отзыва.

7.5. В случае смерти Субъекта согласие на обработку его Персональных данных дают в письменной форме наследники Субъекта, если такое согласие не было дано Работником при его жизни.

7.6. Согласия Работника на распространение его Персональных данных не требуется, в случае обезличивания Персональных данных.

7.7. Информация, относящаяся к Персональным данным Работника, может быть предоставлена государственным органам и органам местного самоуправления в пределах их полномочий, установленных федеральными законами. Основанием для передачи Персональных данных Работника является мотивированный требованиями законодательства или решением суда письменный запрос от должностного лица соответствующего государственного органа или органа местного самоуправления, подписанный руководителем данного органа, заверенный гербовой печатью.

7.8. Родственники и члены семьи Работника доступ к его Персональным данным не имеют.

7.9. В случае если лицо, обратившееся с запросом о предоставлении Персональных данных, не уполномочено федеральным законом, настоящей Политикой, другими локальными нормативными актами ООО «ДГ-Софт» на получение Персональных данных Субъекта, либо отсутствует надлежащее согласие Субъекта на предоставление его Персональных данных, Оператор обязан отказать в предоставлении Персональных данных Субъекта указанному лицу.

7.10. Все меры конфиденциальности при сборе, обработке и хранении Персональных данных Субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

7.11. В случае если ООО «ДГ-Софт» пользуется услугами третьих лиц на основании заключенных договоров (либо иных оснований), и в силу данных договоров они должны иметь доступ к Персональным данным, обрабатываемым ООО «ДГ-Софт», то соответствующие Персональные данные предоставляются ООО «ДГ-Софт» только после подписания с данными лицами соглашения о неразглашении Персональных данных или включения в договоры пунктов о неразглашении Персональных данных, в том числе предусматривающих защиту Персональных данных.

7.12. Все типовые формы договоров ООО «ДГ-Софт» должны содержать положения про обработку персональных данных для того, чтобы исключить риск незаконной обработки персональных данных со стороны контрагента.

7.13. В случае заключения расходного/доходного договора с условием об использовании персональных данных контактных лиц за пределами срока действия договора, условие об этом необходимо включить в договор.

7.14. В случае поручения ООО «ДГ-Софт» обработчику обработки персональных данных, необходимо включить положение об этом в договор.

7.15. Лицо, осуществляющее обработку персональных данных по поручению ООО «ДГ-Софт» должно соответствовать требованиям, предусмотренным Федеральным закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».

7.16. В поручении должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных по поручению ООО «ДГ-Софт», цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федеральным закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», обязанность по запросу ООО «ДГ-Софт» в течение срока действия поручения, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения ООО «ДГ-Софт» требований, настоящего пункта, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных», в том числе требование об уведомлении ООО «ДГ-Софт» о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона «О персональных данных».

7.17. В случае передачи персональных данных, необходимо включить положение об этом в договор.

8. БЛОКИРОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Блокирование Персональных данных конкретного Субъекта Персональных данных должно осуществляться во всех информационных системах Персональных данных ООО «ДГ-Софт», включая архивы баз данных, содержащих такие Персональные данные.

8.2. Блокирование Персональных данных в ООО «ДГ-Софт» осуществляется:

в случае выявления неправомерной обработки Персональных данных при обращении/направлении запроса Субъекта Персональных данных или его представителя либо уполномоченного органа по защите прав Субъектов Персональных данных с момента такого обращения или получения указанного запроса на период проверки;
в случае отсутствия возможности уничтожения Персональных данных в установленные сроки до их уничтожения.

8.3. После устранения выявленной неправомерной обработки Персональных данных ООО «ДГ-Софт» осуществляет снятие блокирования Персональных данных. Решение о блокировании и снятии блокирования Персональных данных принимается лицом, ответственным за организацию обработки Персональных данных в ООО «ДГ-Софт».

9. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Персональные данные хранятся в течение срока, определенного в разделе 6 настоящей Политики, и подлежат уничтожению по достижении целей обработки, истечения срока или в случае утраты необходимости в их достижении.

9.2. Документы, содержащие Персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном настоящей Политикой и архивным законодательством Российской Федерации.

9.3. Уничтожение документов, содержащих Персональные данные, производится:

в случае отзыва согласия Субъекта Персональных данных, если отсутствуют иные законные основания обработки Персональных данных;
по достижении целей их обработки согласно номенклатуре дел и документов или при утрате необходимости в их достижении;
Персональные данные больше не требуются для достижения целей, в которых они были получены;
по достижении окончания срока хранения Персональных данных, оговоренного в соответствующем соглашении заинтересованных сторон;
истек срок согласия на обработку Персональных данных;
в случае выявления неправомерной обработки Персональных данных в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки Персональных данных.

9.4. Уничтожение Персональных данных, находящихся на машинных носителях информации, выполняется средствами информационной системы (операционной системы, системы управления базами данных).

9.5. Уничтожение материальных носителей с Персональными данными осуществляется согласно документу «Регламент по организации обращения с защищаемыми носителями персональных данных».

9.6. Компания осуществляет документирование фактов уничтожения ПДн в ИСПДн и на материальных носителях, в соответствии с Требованиями к подтверждению уничтожения ПДн, утвержденными Приказом Роскомнадзора от 28.10.2022 № 179 (далее – Приказ № 179), Актом Акт об уничтожении персональных данных в базах данных, на материальных (бумажных, электронных) носителях по форме (далее – Акт).

9.7. В случае если Компания подтверждает уничтожение ПДн в ИСПДн, то к Акту необходимо приложить также выгрузку из журнала регистрации событий в ИСПДн.

9.8. В случае если выгрузка журнала регистрации событий в ИСПДн не позволяет указать отдельные сведения, предусмотренные Приказом № 179, то допускается указывать такие сведения в Акте.

10. ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ

10.1. Методы и способы защиты Персональных данных в информационных системах Оператора должны соответствовать требованиям, установленным:

Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
Постановлением Правительства РФ от 01 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
Иным требованиям законодательства о персональных данных.

10.2. При обработке Персональных данных должны приниматься необходимые организационные и технические меры для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения Персональных данных, а также от иных неправомерных действий.

10.3. Обмен Персональными данными при их обработке в информационных системах Персональных данных осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.

10.4. Размещение информационных систем Персональных данных, специальное оборудование и охрана помещений, в которых ведется работа с Персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей Персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

10.5. Для осуществления мероприятий по защите Персональных данных при их обработке в информационных системах Персональных данных системы защиты могут включать в себя следующие подсистемы: управления доступом; регистрации и учета; обеспечения целостности; антивирусной защиты; обеспечения безопасности межсетевого взаимодействия; анализа защищенности; обнаружения вторжений.

10.6. Для обеспечения безопасности Персональных данных при необходимости осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.

10.7. В целях обеспечения безопасности Персональных данных при их обработке в информационных системах Персональных данных организуется контроль соблюдения условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией, а также разбирательство и составление заключений по фактам несоблюдения условий доступа к Персональным данным, использования средств защиты информации, которые могут привести к нарушениям конфиденциальности Персональных данных.

10.8. При обнаружении нарушений порядка предоставления Персональных данных незамедлительно приостанавливается предоставление Персональных данных пользователям информационной системы Персональных данных, получивших их с нарушением установленного порядка, до выявления причин нарушений и устранения этих причин.

10.9. Также в ООО «ДГ-Софт» применяются следующие меры по обеспечению безопасности персональных данных:

оценен вред, который может быть причинен Субъекту персональных данных в случае нарушения законодательства РФ в области персональных данных, оценено соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения законодательства РФ в области персональных данных;
проводится ознакомление работников ООО «ДГ-Софт», непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ в области персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику ООО «ДГ-Софт» в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
проводится оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных,
осуществляется контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
в случаях и порядке , предусмотренным законодательством о персональных данных обеспечивается взаимодействие с уполномоченным органом по защите прав субъектов персональных данных РФ в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, а также, если применимо, с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных;;

10.10. Ответственность за организацию защиты Персональных данных в информационных системах Персональных данных возлагается на подразделения безопасности и информационных технологий.

11. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ОПЕРАТОРА

11.1. В целях обеспечения защиты Персональных данных Субъекты имеют право:

получать полную информацию о своих Персональных данных и обработке этих данных (в том числе автоматизированной);
осуществлять свободный бесплатный доступ к своим Персональным данным, включая право получать копии любой записи, содержащей Персональные данные Субъекта, за исключением случаев, предусмотренных законодательством;
требовать исключения или исправления неверных, или неполных Персональных данных, а также данных, обработанных с нарушением законодательства;
при отказе Оператора исключить или исправить Персональные данные Субъекта – заявить в письменной форме о своем несогласии, представив соответствующее обоснование;
дополнить Персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
требовать от Оператора уведомления всех лиц, которым ранее были сообщены неверные или неполные Персональные данные Субъекта, обо всех произведенных в них изменениях или исключениях из них;
обжаловать в суде любые неправомерные действия или бездействие Оператора, или уполномоченного им лица при обработке и защите Персональных данных Субъекта;
реализовать иные права, предусмотренные законодательством о персональных данных.

11.2. Для защиты Персональных данных Субъектов Оператор обязан:

за свой счет обеспечить защиту Персональных данных Субъекта от неправомерного их использования или утраты в порядке, установленном законодательством РФ;
по запросу ознакомить Субъекта Персональных данных или его законных представителей с настоящей Политикой и его правами в области защиты Персональных данных, а также предоставить ему полную информацию о его Персональных данных и обработке этих данных;
осуществлять передачу Персональных данных Субъекта только в соответствии с настоящей Политикой и законодательством Российской Федерации;
осуществлять иные обязанности, предусмотренные законодательством о персональных данных.

11.3. Защита информации, содержащей Персональные данные, представляет собой принятие Оператором правовых, организационных и технических мер, направленных на:

обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
соблюдение конфиденциальности информации ограниченного доступа;
реализацию права на доступ к информации.

11.4. Система защиты Персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности Персональных данных и информационных технологий, используемых в информационных системах в соответствии с Постановлением Правительства РФ от 01 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

11.5. Для обеспечения безопасности Персональных данных Субъектов при неавтоматизированной обработке Оператором предпринимаются следующие меры:

Определяются места хранения Персональных данных Субъектов, которые оснащаются следующими средствами защиты:

в кабинете соответствующего департамента находятся специально оборудованные шкафы, защищенные от несанкционированного доступа;
помещения Оператора находятся под круглосуточной охраной сотрудников вневедомственной охраны;
все действия по обработке Персональных данных Субъектов осуществляются только Работниками Оператора, надлежащим образом допущенными к работе с Персональными данными Субъектов, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.

11.6. Обработка, уточнение, уничтожение или блокирование Персональных данных Субъектов при осуществлении их обработки без использования средств автоматизации осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

11.7. Для обеспечения безопасности Персональных данных Субъектов Оператором при автоматизированной обработке предпринимаются следующие меры:

Все действия при автоматизированной обработке Персональных данных Субъектов осуществляются только Работниками Оператора, занимающим должности, указанные в списке должностей, утвержденном соответствующим приказом, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.
Персональные компьютеры, в которых содержатся Персональные данные Субъектов, защищены паролями доступа. Пароли устанавливаются администратором информационной безопасности Оператора и сообщаются индивидуально Работнику, допущенному к работе с Персональными данными и осуществляющему обработку Персональных данных Субъектов на данном персональном компьютере.
Обработка Персональных данных при автоматизированной обработке Персональных данных осуществляется с соблюдением порядка, предусмотренного Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

11.8. ООО «ДГ-Софт» осуществляет регулярный мониторинг изменений законодательства о персональных данных и в случае необходимости осуществляет информирование работников о соответствующих изменениях.

11.9. В случае изменения сведений, направленных ООО «ДГ-Софт» в уполномоченный орган по защите прав субъектов персональных данных в уведомлении об обработке персональных данных, ООО «ДГ-Софт» не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить уполномоченный орган по защите прав субъектов персональных данных обо всех произошедших за указанный период изменениях.

12. ТРЕБОВАНИЯ К СОГЛАСИЮ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

12.1. Согласие на обработку персональных данных должно отвечать следующим требованиям:

• должно быть конкретным, информированным, сознательным, предметным и однозначным;
• может быть дано Субъектом или его представителем в любой позволяющей подтвердить факт его получения форме, если законодательством РФ не установлена обязанность получать согласие в письменной форме;
• должно быть дано свободно, своей волей и в своем интересе.

12.2. Обработка персональных данных Субъектов в целях продвижения товаров, работ, услуг на рынке путем прямых контактов с Субъектом с помощью средств связи должна осуществляться только при условии предварительного согласия Субъекта. При этом необходимо обеспечить наличие доказательственной базы получения такого согласия. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в целях продвижения товаров, работ, услуг на рынке путем прямых контактов.

12.3. Согласие Субъекта в письменной форме и в форме электронного документа.

12.4. Оператор персональных данных, обязан получать согласие Субъекта в письменной форме в следующих случаях:

включение персональных данных Субъекта в общедоступные источники персональных данных;
обработка биометрических персональных данных;
обработка специальных категорий персональных данных;
трансграничная передача персональных данных на территорию государства, не обеспечивающего адекватную защиту прав Субъектов персональных данных;
принятие решения на основании исключительно автоматизированной обработки персональных данных, порождающего юридические последствия в отношении Субъекта или иным образом затрагивающего его права и законные интересы;

12.5. Содержание согласие Субъекта в письменной форме должно отвечать требованиям ч. 4 ст. 9 федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных»:

12.6. Согласие Субъекта в письменной форме оформляется на бумажном носителе с собственноручной подписью Субъекта или его представителя. Равнозначным, содержащему собственноручную подпись Субъекта, согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с требованиями федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».

12.7. Согласие Субъекта в любой форме

12.8. В случаях, не требующих в соответствии с действующим законодательством оформлять Оператору согласие в письменной форме, может быть получено согласие в любой форме с применением сервисов Оператора, принадлежащих или используемых Оператором, позволяющей подтвердить факт его получения. К таким случаям относятся получение согласий в письменной форме и в форме электронного документа, а также в случаях совершения Субъектом явного действия, например, но не ограничиваясь:

отправка Оператору после процедуры ознакомления с текстом согласия на обработку персональных данных ответного SMS-сообщения с Кодом подтверждения полученного Субъектом на мобильный номер телефона или посредством голосового подтверждения;
нажатие Субъектом на кнопку «Подтверждаю», «Согласен», «Принимаю», «Продолжить» и т.п. после процедуры ознакомления с текстом согласия на обработку персональных данных;
заполнение Чек-бокса рядом с текстом согласия на обработку персональных данных в графическом интерфейсе бизнес-сервиса;
ответное электронное письмо на электронный почтовый ящик оператора, исходящее от Субъекта с информацией о согласии на обработку персональных данных.

12.9. Обеспечение доказательств наличия правовых оснований на обработку персональных данных.

12.10. Оператор осуществляет учет и хранение согласий в течение срока действия согласия, увеличенного на три года (общий срок исковой давности).

12.11. В соответствии с требованиями федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных» по запросу уполномоченного органа или Субъекта Оператор обязан предоставить доказательство получения согласия Субъекта на обработку его персональных данных или доказательство наличия иных оснований обработки персональных данных.

12.12. Подтверждением факта получения согласия на бумажном носителе является бланк согласия с собственноручной подписью Субъекта или его представителя и указанием даты его подписи.

12.13. Хранение Согласий, оформленных на бумажном носителе, в зависимости от вида осуществляется в ответственных подразделениях оператора.

12.14. При получении согласия от представителя Субъекта Оператору необходимо осуществлять хранение документов, подтверждающих полномочия представителя, в течение срока, установленного для хранения согласий. Хранение документов, подтверждающих полномочия представителя, осуществляется совместно с согласиями.

12.15. Место хранения согласий, а также лица ответственные за организацию хранения, определяется внутренним локальным нормативным документом Оператора.

12.16. В целях обеспечения подтверждения получения Оператором согласий в электронном виде, в информационных системах Оператора должны быть реализованы функции учета полученных согласий и хранение подтверждений (с возможностью их выгрузки для последующей печати).

13. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

13.1. Лица, виновные в нарушении требований законодательства о персональных данных, несут ответственность, предусмотренную действующим законодательством Российской Федерации.

Редакция от 28.03.2024