Управление файлами cookie
Настройки файлов cookie
Файлы cookie, необходимые для корректной работы сайта, всегда включены.
Другие файлы cookie можно настроить.
Другие файлы cookie можно настроить.
ПОЛИТИКА
по организации обработки и обеспечению безопасности персональных данных
Общества с ограниченной ответственностью Селекти
Введена в действие с 11.04.2025 г. Приказом №1-25/ПД от 11.04.2025 г.
1. ОБЩИЕ ПОЛОЖЕНИЯ ПОЛИТИКИ
1.1. Общество с ограниченной ответственностью Селекти (далее — «Оператор») считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработкеперсональных данных (далее- «ПД»), а также обеспечение безопасности процессов их обработки.
1.2. Настоящая Политика об организации обработки и обеспечении безопасности ПД (далее —
«Политика»):
1.2.1. разработана в целях реализации требований действующего законодательства РФ в области обработки и защиты ПД;
1.2.2. раскрывает способы и принципы обработки Оператором П Д, права и обязанности Оператора при обработке ПД, права Субъектов П Д, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности ПД при их обработке;
1.2.3. является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке и защите ПД;
1.3. Для страниц сайта и/или приложений, посредством которых Оператором осуществляется сбор ПД, с целью ознакомления Субъектов П Д с более детальной информацией об обработке ПД и принимаемыхмерах по их защите, Оператор вправе разрабатывать дополнительные документы (частные политики конфиденциальности) по вопросам обработки и защиты ПД, сбор которых осуществляется через такие страницы сайта и/или приложения, и размещать их на соответствующих страницах сайта и/или в приложениях. При этом обозначенные документы (частные политики конфиденциальности) не могут противоречить требованиям законодательства РФ и положениям настоящей Политики.
1.4. В настоящей Политике используются следующие понятия, сокращения и аббревиатуры:
1.1. Общество с ограниченной ответственностью Селекти (далее — «Оператор») считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработкеперсональных данных (далее- «ПД»), а также обеспечение безопасности процессов их обработки.
1.2. Настоящая Политика об организации обработки и обеспечении безопасности ПД (далее —
«Политика»):
1.2.1. разработана в целях реализации требований действующего законодательства РФ в области обработки и защиты ПД;
1.2.2. раскрывает способы и принципы обработки Оператором П Д, права и обязанности Оператора при обработке ПД, права Субъектов П Д, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности ПД при их обработке;
1.2.3. является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке и защите ПД;
1.3. Для страниц сайта и/или приложений, посредством которых Оператором осуществляется сбор ПД, с целью ознакомления Субъектов П Д с более детальной информацией об обработке ПД и принимаемыхмерах по их защите, Оператор вправе разрабатывать дополнительные документы (частные политики конфиденциальности) по вопросам обработки и защиты ПД, сбор которых осуществляется через такие страницы сайта и/или приложения, и размещать их на соответствующих страницах сайта и/или в приложениях. При этом обозначенные документы (частные политики конфиденциальности) не могут противоречить требованиям законодательства РФ и положениям настоящей Политики.
1.4. В настоящей Политике используются следующие понятия, сокращения и аббревиатуры:
Оператор | Общество с ограниченной ответственностью Селекти (Российская Федерация, 115035, г. Москва, вн. Тер. Г. Муниципальный округ Замоскворечье, ул. Садовническая, д.14, стр.2, этаж 6, помещение I, ком. 1, офис 602, ИНН: 7736313541, ОГРН: 1177746962579), которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку ПД, а также определяет цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД. |
Политика | Политика Оператора об организации обработки и обеспечении безопасности персональных данных. |
152-ФЗ | Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». |
Субъект ПД | Физическое лицо, к которому относятся соответствующие персональныеданные. |
Автоматизированная обработка ПД | Обработка ПД с помощью средств вычислительной техники. |
Безопасность ПД | Защищенность ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД. |
Биометрические ПД | Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПД. |
Блокирование ПД | Временное прекращение обработки ПД (за исключением случаев, еслиобработка необходима для уточнения ПД). |
ИСПД | Информационная система персональных данных – совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств. |
Компьютерный инцидент | Любое реальное или предполагаемое событие, имеющее отношение к безопасности информационной или телекоммуникационной системы. |
Материальный носитель информации (ПД) | Материальный объект, используемый для закрепления и хранения на нем речевой, звуковой или изобразительной информации (ПД), в т.ч. в преобразованном виде. |
Неавтоматизированная обработка ПД | Обработка ПД без помощи средств вычислительной техники. |
Обработка ПД | Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации и (или) без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), |
| обезличивание, блокирование, удаление, уничтожение персональных данных. |
Обработка ПД без использования средств автоматизации | Обработка ПД, содержащихся в ИСПД либо извлеченных из такой системы, если такие действия с ПД, как использование, уточнение, распространение, уничтожение ПД в отношении каждого из субъектов ПД, осуществляются при непосредственном участии человека. Обработка ПД не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что ПД содержатся в ИСПД либо были извлечены из нее. |
Общедоступные источники ПД | Источники персональных данных (в том числе справочники, адресныекниги), создаваемые в целях информационного обеспечения. |
Оценка возможного вреда | Определение уровня вреда на основании учёта причинённых убытков и морального вреда, нарушения конфиденциальности, целостности и доступности ПД. |
ПД | Персональные данные – любая информация, относящаяся к прямо иликосвенно определенному или определяемому физическому лицу (субъекту ПД). |
Передача ПД | Распространение, предоставление или доступ к ПД. |
Работник | Физическое лицо, вступившее в трудовые отношения с Оператором. |
Распространение ПД | Действия, направленные на раскрытие персональных данныхнеопределенному кругу лиц. |
РФ | Российская Федерация. |
СЗИ | Средства защиты информации |
Уничтожение ПД | Действия, в результате которых становится невозможным восстановить содержание ПД в информационной системе ПД и (или) в результате которых уничтожаются материальные носители ПД. |
Трансграничная передача данных | Передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. |
Третьи лица | физические лица, в том числе индивидуальные предприниматели, и/или юридические лица, действующие как в собственных интересах, так и представляющий интересы третьих сторон, в их отношениях с Оператором в рамках или в связи с предполагаемыми/заключаемыми или заключенными гражданско-правовыми договорами. |
2. ПРИНЦИПЫ, ЦЕЛИ И СОДЕРЖАНИЕ ОБРАБОТКИ ПД
2.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки ПД, указанных в ст. 5 152-ФЗ.
2.2. Оператор осуществляет целенаправленную обработку ПД в соответствии с применимым законодательством о ПД.
2.3. Описание целей обработки ПД, состава обрабатываемых ПД, категорий субъектов, ПД которых обрабатываются, правовых оснований такой обработки, а также сроках их обработки и хранения, способы обработки и действия изложены в Приложении № 1 к настоящей Политике.
2.4. Полное справочно-информационное описание обработки ПД отражается в локальных нормативных актах Оператора и соответствующих согласиях. Субъект П Д или его законные представители имеют право обратиться к Оператору с запросом в целях реализации и защиты своих прав и законных интересов по адресу места нахождения исполнительного органа Оператора.
3. ОСОБЕННОСТИ СБОРА И ИНОЙ ОБРАБОТКИ ПД
3.1. Оператор может обрабатывать ПД, полученные им и (или) его уполномоченными лицами непосредственно от субъекта ПД и (или) его представителя или иным способом, не запрещённым законом.
3.2. При сборе П Д Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, прямо предусмотренных действующим законодательством РФ о ПД.
3.3. Для обработки П Д Оператор может применять информационные системы, автоматизированные рабочие места, отчуждаемые машинные носители информации (например, оптические и магнито-оптические диски, флэшки, съемные жёсткие диски и т. д.), бумажные носители информации (как отдельные, так и включенные в систематизированные собрания), а также передавать ПД по внутренней сети Оператора, обеспечивающей доступ к ПД (в том числе размещенным на внутренних информационных ресурсах и (или) локальных электронных порталах Оператора) лишь для строго определенного и ограниченного Оператором круга лиц,
включая работников Оператора, и (или) передавать ПД с использованием информационно- телекоммуникационных сетей (включая сеть «Интернет»).
4. ПЕРЕДАЧА ПД
4.1. Для достижения предусмотренных целей обработки П Д Оператор:
4.1.1. вправе привлекать третьих лиц к обработке ПД путем поручения третьим лицам обработки ПД и (или) путем получения Персональных данных от третьих лиц и передачи ПД третьим лицам без порученияобработки ПД, в том числе осуществлять трансграничную передачу ПД третьим лицам на территорию иностранных государств при условии проведения предварительной оценки мер, принимаемых третьимлицом, которому планируется трансграничная передача ПД, по обеспечению безопасности и конфиденциальности ПД, а также соблюдения условий и запретов трансграничной передачи, установленных применимым законодательством. Привлечение третьих лиц к обработке ПД можетосуществляться только при условии обработки такими лицами ПД в минимально необходимом составе и исключительно для достижения предусмотренных целей обработки ПД, а также при условии обеспечения такими лицами конфиденциальности и безопасности ПД при их обработке (в случае неисполнения третьими лицами данных условий указанные лица будут нести ответственность на основании своих договорных обязательств перед Оператором и (или) в соответствии с положениями применимого законодательства). К таким третьим лицам, в частности, могут относиться:
(1) лица, обладающие правом в предусмотренных применимым законодательством случаях на получение ПД в составе, необходимом для осуществления и выполнения возложенных на таких лиц функций, полномочий и обязанностей;
(2) лица, в пользу которых Оператором может быть произведена уступка прав и (или) обязанностей в отношении предусмотренных Документом целей обработки ПД;
(3) правопреемники (инвесторы) Оператора и (или) его аффилированные лица, если Оператор и (или) его аффилированные лица будут вовлечены в сделки по реорганизации, слиянию, поглощению, ликвидации или отчуждению активов;
(4) иные лица, с которыми оператор взаимодействует или может взаимодействовать для достижения предусмотренных целей обработки ПД.
4.2. Фактический состав привлекаемых Оператором третьих лиц к обработке ПД определяется исходя изсложившихся отношений между Оператором и субъектом ПД, а также в соответствии с положениямиприменимого законодательства, договоров между Оператором и субъектом ПД, согласия (ий) субъекта ПД на обработку ПД.
4.3. Оператор может создавать общедоступные источники ПД и (или) осуществлять распространение ПД только с согласия субъекта ПД или на основании требований применимого законодательства.
5. ПОРЯДОК ПРЕКРАЩЕНИЯ ОБРАБОТКИ (УНИЧТОЖЕНИЯ) ПД
5.1. Оператор установил следующие условия прекращения обработки ПД:
5.1.1. достижение целей обработки ПД и максимальных сроков хранения ПД;
5.1.2. утрата необходимости в достижении целей обработки ПД;
5.1.3. выявление неправомерной обработки ПД, в том числе факта незаконного получения ПД или отсутствия необходимости ПД для заявленной цели обработки ПД;
5.1.4. невозможность обеспечения правомерности обработки ПД;
5.1.5. отзыв субъектом ПД согласия на обработку ПД, если сохранение ПД более не требуется для целей обработки ПД;
5.1.6. требование субъекта ПД к Оператору о прекращении обработки ПД, за исключением случаев, предусмотренных законодательством;
5.1.7. истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка ПД;
5.1.8. ликвидация или реорганизация Оператора;
5.2. При невозможности уничтожения ПД в сроки, определенные 152-ФЗ для случаев, когда невозможнообеспечить правомерность обработки ПД, при достижении целей обработки ПД, а также при отзыве субъектом согласия на обработку ПД и (или) получении Оператором требования субъекта ПД опрекращении обработки ПД, если сохранение ПД более не требуется для целей обработки ПД, Операторосуществляет блокирование ПД и уничтожает ПД в течение 6 (Шести) месяцев, если иной срок не установлен применимым законодательством.
5.3. Уничтожение П Д производится способом, исключающим возможность восстановления этих ПД. Если П Д невозможно уничтожить без такого повреждения их материального носителя, которое будет препятствовать его дальнейшему использованию по назначению, то уничтожению подлежат и ПД, и их материальный носитель.
5.4. Подтверждение факта уничтожения ПД осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД.
6. МЕРЫ ПО НАДЛЕЖАЩЕЙ ОРГАНИЗАЦИИ ОБРАБОТКИ И ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПД
6.1. Оператор при обработке ПД принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности ПД достигается, в частности, следующими мерами (с учетом их применимости в зависимости от способа и особенностей обработки ПД):
6.1.1. назначением лица, ответственного за организацию обработки ПД, а также назначением лиц (а), ответственных (ого) за обеспечение безопасности ПД при их обработке в ИСПД (если применимо);
6.1.2. изданием документов, определяющих политику Оператора в отношении обработки ПД, локальных нормативных актов Оператора по вопросам обработки ПД, определяющих для каждой цели обработки ПД категории и перечень обрабатываемых ПД, категории субъектов, ПД которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПД при достижении целей их обработки или при наступлении иных законных оснований, а также локальных нормативных актов Оператора, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства о ПД, устранение последствий таких нарушений. Такие документы и локальные нормативные акты не могут содержать положения, ограничивающие права субъектов ПД, а также возлагающие на Оператора не предусмотренные законодательством о ПД полномочия и обязанности;
6.1.3. осуществлением внутреннего контроля и (или) аудита соответствия обработки ПД требованиям 152-ФЗ ипринятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, политике Оператора в отношении обработки ПД, локальным нормативным актам Оператора;
6.1.4. осуществлением оценки вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД в РФ, который может быть причинен субъектам в случаенарушения требований применимого законодательства о ПД, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных требованиям применимого законодательства о ПД;
6.1.5. ознакомлением лиц, привлеченных (допущенных) Оператором к обработке ПД, с требованиями применимого законодательства о ПД, в том числе требованиями к защите ПД, документами, определяющими политику Оператора в отношении обработки ПД, локальными нормативными актами по вопросам обработки ПД, и (или) обучение указанных лиц;
6.1.6. определением угроз безопасности ПД, которые могут возникнуть при их обработке в ИСПД;
6.1.7. применением организационных и (или) технических мер по обеспечению безопасности ПД при их обработке, в том числе в ИСПД, необходимых для обеспечения постоянной конфиденциальности, целостности, доступности и устойчивости процессов и (или) систем, связанных с обработкой ПД;
6.1.8. применением прошедших в установленном порядке процедуру оценки соответствия СЗИ, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности ПД и информационных технологий, используемых в ИСПД;
6.1.9. оценкой эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию ИСПД;
6.1.10. определением мест хранения материальных (в том числе машинных) носителей ПД, обеспечением учетаи сохранности носителей ПД, исключением несанкционированного доступ к носителям ПД, а также раздельным хранением ПД (материальных носителей), обработка которых осуществляется в различных целях;
6.1.11. воспрещением объединения баз с ИСПД или фиксации ПД на одном материальном носителе, если обработка ПД осуществляется в несовместимых между собой целях;
6.1.12. обнаружением фактов несанкционированного доступа к ИСПД и принятием надлежащих мер, в томчисле мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПД, связанные с обработкой ПД, и по реагированию на компьютерные инциденты в них;
6.1.13. восстановлением ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
6.1.14. установлением правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечением регистрации и учета всех действий, совершаемых с ПД в ИСПД;
6.1.15. контролем за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности ИСПД;
6.1.16. установлением и утверждением перечня лиц (должностей), привлеченных (допущенных) Оператором кавтоматизированной и (или) неавтоматизированной обработке ПД, в том числе в ИСПД, и ограничением доступа к ПД для иных лиц;
6.1.17. информированием лиц, привлеченных (допущенных) Оператором к обработке ПД без использования средств автоматизации, о факте обработки указанными лицами ПД, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых ПД, категориях субъектов, а также об особенностях и правилах осуществления такой обработки, предусмотренные применимым законодательством о ПД и подзаконными нормативными правовыми актами, а также локальными нормативными актами Оператора;
6.1.18. организацией режима безопасности помещений, в которых осуществляется обработка ПД и (или) размещены программно-аппаратные средства, используемые для обработки ПД, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
6.1.19. уничтожением ПД способом, исключающим последующее восстановление и дальнейшую обработку ПД, а также подтверждением уничтожения ПД в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД в РФ;
6.2. Сведения о средствах (способах) обеспечения безопасности ПД при их обработке:
6.2.1. формирование модели (ей) актуальных (предполагаемых) угроз безопасности ПД при их обработке в ИСПД;
6.2.2. разработка на основе модели (ей) угроз системы защиты ПД, обеспечивающей нейтрализацию угроз с использованием методов и способов защиты ПД, предусмотренных для соответствующих уровней защищенности ИСПД;
6.2.3. установка и ввод в эксплуатацию СЗИ в соответствии с эксплуатационной и технической документацией;
6.2.4. обучение лиц, использующих СЗИ, применяемые в ИСПД, правилам работы с ними;
6.2.5. учет применяемых СЗИ, эксплуатационной и технической документации к ним;
6.2.6. учет лиц, допущенных к работе с ПД, в том числе в ИСПД;
6.2.7. контроль за соблюдением условий использования СЗИ, предусмотренных эксплуатационной и технической документацией;
6.2.8. проведение проведения служебных проверок и (или) внутренних расследований по фактам несоблюдения условий хранения материальных (в том числе машинных) ПД, использования СЗИ, которые могут привести к нарушению конфиденциальности ПД (инциденту с ПД) или другим нарушениям, приводящим к снижению уровня защищенности ПД.
6.3. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД, Оператор в предусмотренномзаконодательством о ПД порядке и в соответствующие сроки уведомляет об указанном факте уполномоченный орган по защите прав субъектов ПД.
6.4. Оператор обеспечивает взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), включая информирование федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД.
7. ЛИЦО, ОТВЕТСТВЕННОЕ ЗА ОРГАНИЗАЦИЮОБРАБОТКИ ПД
7.1. Права, обязанности и юридическая ответственность лица, ответственного за организацию обработки ПД, установлены ст. 22.1 152-ФЗ и локальными нормативными актами Оператора в сфере обработки и защиты ПД.
7.2. Назначение лица, ответственного за организацию обработки ПД, и его освобождение от указанных обязанностей осуществляется решением Оператора. При назначении лица, ответственного за организацию обработки ПД, учитываются полномочия, компетенции и личностные качества лица, призванные позволить ему надлежащим образом и в полном объеме реализовывать свои права и выполнять обязанности.
7.3. Лицо, ответственное за организацию обработки ПД:
7.3.1. организует осуществление внутреннего контроля над соблюдением Оператором применимого законодательства о ПД, в том числе требований к защите ПД;
7.3.2. обеспечивает доведение до сведения лиц, осуществляющих обработку ПД в предусмотренных Оператором целях, положения применимого законодательства о ПД, локальных нормативных актов Оператора по вопросам обработки ПД, требований к защите ПД;
7.3.3. осуществляет контроль над приемом и обработкой обращений и запросов субъектов ПД или их представителей.
8. ЛИЦО, ОТВЕТСТВЕННОЕ ЗА ОБЕСПЕЧЕНИЕБЕЗОПАСНОСТИ ПД В ИСПД
8.1. Для каждой из ИСПД Оператора руководителем Оператора ИСПД назначается должностное лицо, ответственное за обеспечение безопасности ПД при их обработке в данной ИСПД. При этом одно должностное лицо может являться ответственным за обеспечение безопасности ПД при их обработке в нескольких ИСПД.
8.2. Лицо, ответственное за обеспечение безопасности ПД в ИСПД, отвечает за сохранность ПД в ИСПД, принятие и обеспечение технических мер защиты ПД в ИСПД, содействует предотвращению компьютерных инцидентов с ПД и участвует в расследовании компьютерных инцидентов с ПД.
9. ПРАВА СУБЪЕКТОВ ПД
9.1. Субъект П Д имеет право на получение сведений об обработке его П Д Оператором.
9.2. Субъект П Д вправе требовать от Оператора уточнения этих ПД, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.3. Право субъекта ПД на доступ к его ПД может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта ПД к его ПД нарушает права и законные интересы третьих лиц.
9.4. Субъект П Д вправе в любое время полностью или в какой-либо части отозвать ранее предоставленное (ые) Оператору согласия на обработку ПД и (или) обратиться к Оператору с требованием о прекращении обработки ПД, за исключением случаев, когда обработка ПД предусмотрена п.п.2−11 ч.1 ст. 6, ч.2 ст. 10 и ч.2 ст. 11 152-ФЗ. Указанные в настоящем пункте права могут быть реализованы путем направления Оператору обращения.
9.5. Для реализации и защиты своих прав и законных интересов субъект ПД или его представители имеют право обратиться к Оператору любым удобным и возможным для них способом.
9.6. Оператор рассматривает любые обращения и жалобы со стороны субъектов ПД, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
9.7. Субъект П Д вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов ПД.
9.8. Субъект П Д имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
10. ДОСТУП К ПОЛИТИКЕ И КОММУНИКАЦИЯ СОПЕРАТОРОМ
10.1. Действующая редакция Политики на бумажном носителе хранится в месте нахождения Оператора по адресу исполнительного органа Оператора (см. п. 1.4 Политики), а электронная версия Политики опубликована на соответствующем Интернет-ресурсе https://selecty.ru/privacy.
10.2. В случае возникновения у субъекта ПД каких-либо вопросов в отношении обработки его ПД или положений Политики, он может обратиться к Оператору любым из предусмотренных способов (личное письменное или устное обращение к уполномоченному представителю Оператора; почтовое направление письменного обращения по адресу Оператора; направление обращения на электронный адрес privacy@selecty.ru в форме скан-копии подписанного субъектом ПД письменного обращения) в произвольной форме, позволяющей идентифицировать обращающегося субъекта ПД.
11. ПОРЯДОК УТВЕРЖДЕНИЯ И ВНЕСЕНИЯ ИЗМЕНЕНИЙ ВПОЛИТИКУ
11.1. Политика утверждается и вводится в действие решением Оператора и действует до ее отмены.
11.2. Оператор имеет право по мере необходимости вносить изменения в Политику (далее — «Изменения»). Изменения утверждаются решением Оператора.
11.3. Политика пересматривается по мере необходимости, но не реже одного раза в три года с моментапроведения предыдущего пересмотра Политики. В таком случае измененная редакция Политики публикуется на Интернет-ресурсе https://selecty.ru/privacy или иным образом обеспечивается доступ к Политике с указанием срока начала ее действия.
11.4. Политика может пересматриваться ранее срока, указанного в Политике, по мере внесения изменений:
(1) в нормативные правовые акты РФ в сфере ПД;
(2) в локальные нормативные и индивидуальные акты Оператора, регламентирующие организацию обработки и обеспечение безопасности ПД;
(3) в договоры и соглашения, регламентирующие правоотношения Оператора с контрагентами и иными лицами;
(4) в порядок организации Оператором обработки и обеспечения безопасности ПД.
12. ОТВЕТСТВЕННОСТЬ
12.1. Лица, виновные в нарушении норм, регулирующих обработку и защиту ПД, несут ответственность, предусмотренную законодательством РФ, локальными нормативными актами Оператора и договорами, регламентирующими правоотношения Оператора с третьими лицами.
2.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки ПД, указанных в ст. 5 152-ФЗ.
2.2. Оператор осуществляет целенаправленную обработку ПД в соответствии с применимым законодательством о ПД.
2.3. Описание целей обработки ПД, состава обрабатываемых ПД, категорий субъектов, ПД которых обрабатываются, правовых оснований такой обработки, а также сроках их обработки и хранения, способы обработки и действия изложены в Приложении № 1 к настоящей Политике.
2.4. Полное справочно-информационное описание обработки ПД отражается в локальных нормативных актах Оператора и соответствующих согласиях. Субъект П Д или его законные представители имеют право обратиться к Оператору с запросом в целях реализации и защиты своих прав и законных интересов по адресу места нахождения исполнительного органа Оператора.
3. ОСОБЕННОСТИ СБОРА И ИНОЙ ОБРАБОТКИ ПД
3.1. Оператор может обрабатывать ПД, полученные им и (или) его уполномоченными лицами непосредственно от субъекта ПД и (или) его представителя или иным способом, не запрещённым законом.
3.2. При сборе П Д Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, прямо предусмотренных действующим законодательством РФ о ПД.
3.3. Для обработки П Д Оператор может применять информационные системы, автоматизированные рабочие места, отчуждаемые машинные носители информации (например, оптические и магнито-оптические диски, флэшки, съемные жёсткие диски и т. д.), бумажные носители информации (как отдельные, так и включенные в систематизированные собрания), а также передавать ПД по внутренней сети Оператора, обеспечивающей доступ к ПД (в том числе размещенным на внутренних информационных ресурсах и (или) локальных электронных порталах Оператора) лишь для строго определенного и ограниченного Оператором круга лиц,
включая работников Оператора, и (или) передавать ПД с использованием информационно- телекоммуникационных сетей (включая сеть «Интернет»).
4. ПЕРЕДАЧА ПД
4.1. Для достижения предусмотренных целей обработки П Д Оператор:
4.1.1. вправе привлекать третьих лиц к обработке ПД путем поручения третьим лицам обработки ПД и (или) путем получения Персональных данных от третьих лиц и передачи ПД третьим лицам без порученияобработки ПД, в том числе осуществлять трансграничную передачу ПД третьим лицам на территорию иностранных государств при условии проведения предварительной оценки мер, принимаемых третьимлицом, которому планируется трансграничная передача ПД, по обеспечению безопасности и конфиденциальности ПД, а также соблюдения условий и запретов трансграничной передачи, установленных применимым законодательством. Привлечение третьих лиц к обработке ПД можетосуществляться только при условии обработки такими лицами ПД в минимально необходимом составе и исключительно для достижения предусмотренных целей обработки ПД, а также при условии обеспечения такими лицами конфиденциальности и безопасности ПД при их обработке (в случае неисполнения третьими лицами данных условий указанные лица будут нести ответственность на основании своих договорных обязательств перед Оператором и (или) в соответствии с положениями применимого законодательства). К таким третьим лицам, в частности, могут относиться:
(1) лица, обладающие правом в предусмотренных применимым законодательством случаях на получение ПД в составе, необходимом для осуществления и выполнения возложенных на таких лиц функций, полномочий и обязанностей;
(2) лица, в пользу которых Оператором может быть произведена уступка прав и (или) обязанностей в отношении предусмотренных Документом целей обработки ПД;
(3) правопреемники (инвесторы) Оператора и (или) его аффилированные лица, если Оператор и (или) его аффилированные лица будут вовлечены в сделки по реорганизации, слиянию, поглощению, ликвидации или отчуждению активов;
(4) иные лица, с которыми оператор взаимодействует или может взаимодействовать для достижения предусмотренных целей обработки ПД.
4.2. Фактический состав привлекаемых Оператором третьих лиц к обработке ПД определяется исходя изсложившихся отношений между Оператором и субъектом ПД, а также в соответствии с положениямиприменимого законодательства, договоров между Оператором и субъектом ПД, согласия (ий) субъекта ПД на обработку ПД.
4.3. Оператор может создавать общедоступные источники ПД и (или) осуществлять распространение ПД только с согласия субъекта ПД или на основании требований применимого законодательства.
5. ПОРЯДОК ПРЕКРАЩЕНИЯ ОБРАБОТКИ (УНИЧТОЖЕНИЯ) ПД
5.1. Оператор установил следующие условия прекращения обработки ПД:
5.1.1. достижение целей обработки ПД и максимальных сроков хранения ПД;
5.1.2. утрата необходимости в достижении целей обработки ПД;
5.1.3. выявление неправомерной обработки ПД, в том числе факта незаконного получения ПД или отсутствия необходимости ПД для заявленной цели обработки ПД;
5.1.4. невозможность обеспечения правомерности обработки ПД;
5.1.5. отзыв субъектом ПД согласия на обработку ПД, если сохранение ПД более не требуется для целей обработки ПД;
5.1.6. требование субъекта ПД к Оператору о прекращении обработки ПД, за исключением случаев, предусмотренных законодательством;
5.1.7. истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка ПД;
5.1.8. ликвидация или реорганизация Оператора;
5.2. При невозможности уничтожения ПД в сроки, определенные 152-ФЗ для случаев, когда невозможнообеспечить правомерность обработки ПД, при достижении целей обработки ПД, а также при отзыве субъектом согласия на обработку ПД и (или) получении Оператором требования субъекта ПД опрекращении обработки ПД, если сохранение ПД более не требуется для целей обработки ПД, Операторосуществляет блокирование ПД и уничтожает ПД в течение 6 (Шести) месяцев, если иной срок не установлен применимым законодательством.
5.3. Уничтожение П Д производится способом, исключающим возможность восстановления этих ПД. Если П Д невозможно уничтожить без такого повреждения их материального носителя, которое будет препятствовать его дальнейшему использованию по назначению, то уничтожению подлежат и ПД, и их материальный носитель.
5.4. Подтверждение факта уничтожения ПД осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД.
6. МЕРЫ ПО НАДЛЕЖАЩЕЙ ОРГАНИЗАЦИИ ОБРАБОТКИ И ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПД
6.1. Оператор при обработке ПД принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности ПД достигается, в частности, следующими мерами (с учетом их применимости в зависимости от способа и особенностей обработки ПД):
6.1.1. назначением лица, ответственного за организацию обработки ПД, а также назначением лиц (а), ответственных (ого) за обеспечение безопасности ПД при их обработке в ИСПД (если применимо);
6.1.2. изданием документов, определяющих политику Оператора в отношении обработки ПД, локальных нормативных актов Оператора по вопросам обработки ПД, определяющих для каждой цели обработки ПД категории и перечень обрабатываемых ПД, категории субъектов, ПД которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПД при достижении целей их обработки или при наступлении иных законных оснований, а также локальных нормативных актов Оператора, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства о ПД, устранение последствий таких нарушений. Такие документы и локальные нормативные акты не могут содержать положения, ограничивающие права субъектов ПД, а также возлагающие на Оператора не предусмотренные законодательством о ПД полномочия и обязанности;
6.1.3. осуществлением внутреннего контроля и (или) аудита соответствия обработки ПД требованиям 152-ФЗ ипринятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, политике Оператора в отношении обработки ПД, локальным нормативным актам Оператора;
6.1.4. осуществлением оценки вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД в РФ, который может быть причинен субъектам в случаенарушения требований применимого законодательства о ПД, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных требованиям применимого законодательства о ПД;
6.1.5. ознакомлением лиц, привлеченных (допущенных) Оператором к обработке ПД, с требованиями применимого законодательства о ПД, в том числе требованиями к защите ПД, документами, определяющими политику Оператора в отношении обработки ПД, локальными нормативными актами по вопросам обработки ПД, и (или) обучение указанных лиц;
6.1.6. определением угроз безопасности ПД, которые могут возникнуть при их обработке в ИСПД;
6.1.7. применением организационных и (или) технических мер по обеспечению безопасности ПД при их обработке, в том числе в ИСПД, необходимых для обеспечения постоянной конфиденциальности, целостности, доступности и устойчивости процессов и (или) систем, связанных с обработкой ПД;
6.1.8. применением прошедших в установленном порядке процедуру оценки соответствия СЗИ, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности ПД и информационных технологий, используемых в ИСПД;
6.1.9. оценкой эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию ИСПД;
6.1.10. определением мест хранения материальных (в том числе машинных) носителей ПД, обеспечением учетаи сохранности носителей ПД, исключением несанкционированного доступ к носителям ПД, а также раздельным хранением ПД (материальных носителей), обработка которых осуществляется в различных целях;
6.1.11. воспрещением объединения баз с ИСПД или фиксации ПД на одном материальном носителе, если обработка ПД осуществляется в несовместимых между собой целях;
6.1.12. обнаружением фактов несанкционированного доступа к ИСПД и принятием надлежащих мер, в томчисле мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПД, связанные с обработкой ПД, и по реагированию на компьютерные инциденты в них;
6.1.13. восстановлением ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
6.1.14. установлением правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечением регистрации и учета всех действий, совершаемых с ПД в ИСПД;
6.1.15. контролем за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности ИСПД;
6.1.16. установлением и утверждением перечня лиц (должностей), привлеченных (допущенных) Оператором кавтоматизированной и (или) неавтоматизированной обработке ПД, в том числе в ИСПД, и ограничением доступа к ПД для иных лиц;
6.1.17. информированием лиц, привлеченных (допущенных) Оператором к обработке ПД без использования средств автоматизации, о факте обработки указанными лицами ПД, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых ПД, категориях субъектов, а также об особенностях и правилах осуществления такой обработки, предусмотренные применимым законодательством о ПД и подзаконными нормативными правовыми актами, а также локальными нормативными актами Оператора;
6.1.18. организацией режима безопасности помещений, в которых осуществляется обработка ПД и (или) размещены программно-аппаратные средства, используемые для обработки ПД, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
6.1.19. уничтожением ПД способом, исключающим последующее восстановление и дальнейшую обработку ПД, а также подтверждением уничтожения ПД в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПД в РФ;
6.2. Сведения о средствах (способах) обеспечения безопасности ПД при их обработке:
6.2.1. формирование модели (ей) актуальных (предполагаемых) угроз безопасности ПД при их обработке в ИСПД;
6.2.2. разработка на основе модели (ей) угроз системы защиты ПД, обеспечивающей нейтрализацию угроз с использованием методов и способов защиты ПД, предусмотренных для соответствующих уровней защищенности ИСПД;
6.2.3. установка и ввод в эксплуатацию СЗИ в соответствии с эксплуатационной и технической документацией;
6.2.4. обучение лиц, использующих СЗИ, применяемые в ИСПД, правилам работы с ними;
6.2.5. учет применяемых СЗИ, эксплуатационной и технической документации к ним;
6.2.6. учет лиц, допущенных к работе с ПД, в том числе в ИСПД;
6.2.7. контроль за соблюдением условий использования СЗИ, предусмотренных эксплуатационной и технической документацией;
6.2.8. проведение проведения служебных проверок и (или) внутренних расследований по фактам несоблюдения условий хранения материальных (в том числе машинных) ПД, использования СЗИ, которые могут привести к нарушению конфиденциальности ПД (инциденту с ПД) или другим нарушениям, приводящим к снижению уровня защищенности ПД.
6.3. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД, Оператор в предусмотренномзаконодательством о ПД порядке и в соответствующие сроки уведомляет об указанном факте уполномоченный орган по защите прав субъектов ПД.
6.4. Оператор обеспечивает взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), включая информирование федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД.
7. ЛИЦО, ОТВЕТСТВЕННОЕ ЗА ОРГАНИЗАЦИЮОБРАБОТКИ ПД
7.1. Права, обязанности и юридическая ответственность лица, ответственного за организацию обработки ПД, установлены ст. 22.1 152-ФЗ и локальными нормативными актами Оператора в сфере обработки и защиты ПД.
7.2. Назначение лица, ответственного за организацию обработки ПД, и его освобождение от указанных обязанностей осуществляется решением Оператора. При назначении лица, ответственного за организацию обработки ПД, учитываются полномочия, компетенции и личностные качества лица, призванные позволить ему надлежащим образом и в полном объеме реализовывать свои права и выполнять обязанности.
7.3. Лицо, ответственное за организацию обработки ПД:
7.3.1. организует осуществление внутреннего контроля над соблюдением Оператором применимого законодательства о ПД, в том числе требований к защите ПД;
7.3.2. обеспечивает доведение до сведения лиц, осуществляющих обработку ПД в предусмотренных Оператором целях, положения применимого законодательства о ПД, локальных нормативных актов Оператора по вопросам обработки ПД, требований к защите ПД;
7.3.3. осуществляет контроль над приемом и обработкой обращений и запросов субъектов ПД или их представителей.
8. ЛИЦО, ОТВЕТСТВЕННОЕ ЗА ОБЕСПЕЧЕНИЕБЕЗОПАСНОСТИ ПД В ИСПД
8.1. Для каждой из ИСПД Оператора руководителем Оператора ИСПД назначается должностное лицо, ответственное за обеспечение безопасности ПД при их обработке в данной ИСПД. При этом одно должностное лицо может являться ответственным за обеспечение безопасности ПД при их обработке в нескольких ИСПД.
8.2. Лицо, ответственное за обеспечение безопасности ПД в ИСПД, отвечает за сохранность ПД в ИСПД, принятие и обеспечение технических мер защиты ПД в ИСПД, содействует предотвращению компьютерных инцидентов с ПД и участвует в расследовании компьютерных инцидентов с ПД.
9. ПРАВА СУБЪЕКТОВ ПД
9.1. Субъект П Д имеет право на получение сведений об обработке его П Д Оператором.
9.2. Субъект П Д вправе требовать от Оператора уточнения этих ПД, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.3. Право субъекта ПД на доступ к его ПД может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта ПД к его ПД нарушает права и законные интересы третьих лиц.
9.4. Субъект П Д вправе в любое время полностью или в какой-либо части отозвать ранее предоставленное (ые) Оператору согласия на обработку ПД и (или) обратиться к Оператору с требованием о прекращении обработки ПД, за исключением случаев, когда обработка ПД предусмотрена п.п.2−11 ч.1 ст. 6, ч.2 ст. 10 и ч.2 ст. 11 152-ФЗ. Указанные в настоящем пункте права могут быть реализованы путем направления Оператору обращения.
9.5. Для реализации и защиты своих прав и законных интересов субъект ПД или его представители имеют право обратиться к Оператору любым удобным и возможным для них способом.
9.6. Оператор рассматривает любые обращения и жалобы со стороны субъектов ПД, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
9.7. Субъект П Д вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов ПД.
9.8. Субъект П Д имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
10. ДОСТУП К ПОЛИТИКЕ И КОММУНИКАЦИЯ СОПЕРАТОРОМ
10.1. Действующая редакция Политики на бумажном носителе хранится в месте нахождения Оператора по адресу исполнительного органа Оператора (см. п. 1.4 Политики), а электронная версия Политики опубликована на соответствующем Интернет-ресурсе https://selecty.ru/privacy.
10.2. В случае возникновения у субъекта ПД каких-либо вопросов в отношении обработки его ПД или положений Политики, он может обратиться к Оператору любым из предусмотренных способов (личное письменное или устное обращение к уполномоченному представителю Оператора; почтовое направление письменного обращения по адресу Оператора; направление обращения на электронный адрес privacy@selecty.ru в форме скан-копии подписанного субъектом ПД письменного обращения) в произвольной форме, позволяющей идентифицировать обращающегося субъекта ПД.
11. ПОРЯДОК УТВЕРЖДЕНИЯ И ВНЕСЕНИЯ ИЗМЕНЕНИЙ ВПОЛИТИКУ
11.1. Политика утверждается и вводится в действие решением Оператора и действует до ее отмены.
11.2. Оператор имеет право по мере необходимости вносить изменения в Политику (далее — «Изменения»). Изменения утверждаются решением Оператора.
11.3. Политика пересматривается по мере необходимости, но не реже одного раза в три года с моментапроведения предыдущего пересмотра Политики. В таком случае измененная редакция Политики публикуется на Интернет-ресурсе https://selecty.ru/privacy или иным образом обеспечивается доступ к Политике с указанием срока начала ее действия.
11.4. Политика может пересматриваться ранее срока, указанного в Политике, по мере внесения изменений:
(1) в нормативные правовые акты РФ в сфере ПД;
(2) в локальные нормативные и индивидуальные акты Оператора, регламентирующие организацию обработки и обеспечение безопасности ПД;
(3) в договоры и соглашения, регламентирующие правоотношения Оператора с контрагентами и иными лицами;
(4) в порядок организации Оператором обработки и обеспечения безопасности ПД.
12. ОТВЕТСТВЕННОСТЬ
12.1. Лица, виновные в нарушении норм, регулирующих обработку и защиту ПД, несут ответственность, предусмотренную законодательством РФ, локальными нормативными актами Оператора и договорами, регламентирующими правоотношения Оператора с третьими лицами.
