Политика обработки персональных данных Первая Обслуживающая Компания, ООО
Оглавление
2. Основания обработки персональных данных 2
3. Основные права и обязанности Оператора 3
4. Цели и принципы обработки персональных данных 5
6. Перечень персональных данных, обрабатываемых в Первая Обслуживающая Компания, ООО 7
7. Трансграничная передача персональных данных 8
8. Перечень действий, совершаемых оператором с персональными данными 8
9. Способы обработки персональных данных Оператором 9
10. Сроки обработки персональных данных 9
11. Порядок и условия обработки персональных данных 9
12. Порядок и условия обработки персональных данных в информационных системах 10
14. Права и обязанности субъектов персональных данных 13
15. Обеспечение защиты персональных данных при их обработке Оператором 14
17. Актуализация, исправление, уничтожение персональных данных 16
18. Реагирование на запросы субъектов персональных данных 17
1. Общие положения
1.1. Настоящая Политика обработки ПДн Первая Обслуживающая Компания, ООО ИНН 7802680480 (далее – Политика) определяет основные принципы, цели, порядок и условия обработки персональных данных (далее – ПДн), объем и категории обрабатываемых ПДн, категории субъектов ПДн, актуализацию, исправление, уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным, меры реализуемые для обеспечения безопасности ПДн при их обработке Оператором.
1.2. Политика разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 149-ФЗ “Об информации, информационных технологиях и о защите информации”, Федеральным законом 27 июля 2006 года № 152-ФЗ “О персональных данных”, иными федеральными законами и нормативно-правовыми актами.
1.3. Документ принят с целью обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных.
1.4. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в Первая Обслуживающая Компания, ООО вопросы обработки персональных данных работников Первая Обслуживающая Компания, ООО и других субъектов персональных данных.
1.5. Все работники Оператора, получающие доступ к персональным данным субъектов персональных данных, в обязательном порядке должны быть ознакомлены с настоящей Политикой для последующего ее исполнения.
1.6. Действующая редакция Политики, являющаяся публичным документом, доступна любому Пользователю сети Интернет при переходе по ссылке https://tensor.ru/uc/personal_data.pdf
1.7. Вводимые сокращения:
Таблица 1 – Перечень сокращений Сокращение Расшифровка сокращения ПДн Персональные данные Оператор Первая Обслуживающая Компания, ООО Политика Политика обработки персональных данных 152-ФЗ Федеральный закон от 27.07.2006 № 152-ФЗ “О персональных данных”
2. Основания обработки персональных данных
Обработка персональных данных осуществляется Оператором на законной и справедливой основе, правовыми основания для обработки являются:
№ п/п |
Наименование документа |
1 |
Конституция Российской Федерации |
2 |
Трудовой кодекс Российской Федерации |
3 |
Гражданский кодекс Российской Федерации |
4 |
Налоговый кодекс Российской Федерации |
5 |
Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» |
6 |
Федеральный закон от 24.07.2009г. № 212-ФЗ «О страховых взносах в Пенсионный Фонд РФ, Фонд социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования» |
7 |
Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ |
8 |
Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете» |
9 |
Приказ ФНС России от 15.10.2020 N ЕД-7-11/753@ «Об утверждении формы расчета сумм налога на доходы физических лиц, исчисленных и удержанных налоговым агентом (форма 6-НДФЛ), порядка ее заполнения и представления, формата представления расчета сумм налога на доходы физических лиц, исчисленных и удержанных налоговым агентом, в электронной форме, а также формы справки о полученных физическим лицом доходах и удержанных суммах налога на доходы физических лиц» |
10 |
Положение о воинском учете, утвержденное Постановлением Правительства РФ от 27.11.2006 № 719 |
11 |
Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи» |
12 |
Федеральный закон 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» |
13 |
Устав Первая Обслуживающая Компания, ООО |
14 |
Порядок (регламент) реализации функций и исполнения обязанностей Удостоверяющего центра Первая Обслуживающая Компания, ООО |
15 |
Договоры, заключаемые между оператором и субъектом персональных данных |
16 |
Согласие на обработку персональных данных |
3. Основные права и обязанности Оператора
3.1. Оператор при сборе персональных данных обязан предоставить субъекту персональных данных по его просьбе информацию, касающейся обработки его персональных данных.
3.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
3.3. При сборе персональных данных, в том числе посредством информационнотелекоммуникационной сети “Интернет”, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в 152-ФЗ.
3.4. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами.
3.5. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационнотелекоммуникационных сетей, обязан опубликовать в соответствующей информационнотелекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
3.6. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
3.7. Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными в порядке и в сроки, установленные 152-ФЗ.
3.8. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных в порядке и в сроки, установленные 152-ФЗ.
3.9. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
3.10. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные 152- ФЗ. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 152-ФЗ.
3.11. Оператор осуществляет иные права и обязанности, установленные 152-ФЗ
4. Цели и принципы обработки персональных данных
4.1. Персональные данные обрабатываются Оператором в следующих целях:
-
обеспечение соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Оператора;
-
осуществление и выполнение функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Оператора, в том числе:
-
по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
-
исчислению и уплаты предусмотренных законодательством РФ налогов, сборов и взносов на обязательное социальное и пенсионное страхование, представления работодателем установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в Пенсионный фонд РФ, сведений подоходного налога в ФНС России, сведений в ФСС РФ;
-
выполнению требований законодательства об основах охраны здоровья граждан;
-
выполнению требований законодательства в сфере труда и налогообложения;
-
выполнению требований законодательства о воинской обязанности;
-
исполнению судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
-
исполнению требований Федерального закона 63-ФЗ «Об электронной подписи»;
-
исполнению требований Федерального закона 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» и требований регламентов электронных торговых площадок;
-
выполнению требований законодательства по определению порядка обработки и защиты ПДн граждан, являющихся клиентами и контрагентами Оператора;
-
-
осуществление прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Оператора, или третьих лиц либо достижения общественно значимых целей;
-
регулирование трудовых отношений с работниками Оператора (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение безопасности, контроль количества и качества исполнения обязанностей работников в рамках исполнения обязанностей по заключенному с ними трудовым договорам, социальное обеспечение работников, обеспечение сохранности имущества, организация коммуникаций, организация деловых поездок, организация питания, прохождения медицинских осмотров, санаторно-курортного лечения, участия в корпоративных мероприятиях, предоставление налоговых вычетов);
-
предоставление сведений в банк для оформления банковской карты и перечисления на нее заработной платы;
-
оформление договоров ДМС;
-
организация внутри объектового и пропускного режима;
-
начисления заработной платы работников;
-
наделение работников определенными полномочиями (оформление доверенностей);
-
подготовка, заключение и исполнение договоров, исполнения обязательств, предусмотренных договорами заключаемыми Оператором с контрагентами;
-
предоставление пользователям возможности по передаче отчетности по телекоммуникационным каналам связи;
-
предоставление пользователям возможности пользоваться сервисами: электронная отчетность, электронный документооборот и пр.;
-
изготовление и хранение сертификатов ключей проверки ЭП, изготовление списка отзывов сертификатов, ведение реестра выданных и аннулированных сертификатов;
-
создание и поддержание положительного имиджа компании;
-
реклама, промо-акции.
4.2. Принципы обработки персональных данных
Обработка персональных данных осуществляется на основе общих принципов:
-
законности заранее определенных конкретных целей и способов обработки персональных данных;
-
обеспечения надлежащей защиты персональных данных;
-
соответствия целей обработки персональных целям, заранее определенным и заявленным при сборе персональных данных;
-
соответствия объема, характера и способов обработки персональных данных целям обработки персональных данных;
-
достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
-
хранения персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных, не дольше, чем того требуют цели обработки;
-
уничтожения персональных данных по достижении целей обработки, если срок хранения персональных данных не установлен законодательством РФ;
-
обеспечения конфиденциальности и безопасности обрабатываемых персональных данных.
5. Категории субъектов, персональные данные которых обрабатываются в Первая Обслуживающая Компания, ООО
К категориям субъектов относятся:
-
Работники Первая Обслуживающая Компания, ООО (в том числе уволенные) и работники сторонних организаций, с которыми заключено соглашение о сотрудничестве, кандидаты на замещение вакантных должностей, а также родственники работников;
-
клиенты и контрагенты оператора (физические лица и индивидуальные предприниматели);
-
представители/работники клиентов и контрагентов оператора (юридических лиц).
6. Перечень персональных данных, обрабатываемых в Первая Обслуживающая Компания, ООО
6.1. Перечень персональных данных, обрабатываемых в Первая Обслуживающая Компания, ООО определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Первая Обслуживающая Компания, ООО с учетом целей обработки персональных данных, указанных в разделе 2.1 Политики для каждой информационной системы ПДн, используемой Оператором.
6.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, а также биометрических персональных данных в Первая Обслуживающая Компания, ООО не осуществляется.
6.3. В целях идентификации web-порталов sbis.ru и tensor.ru поисковыми системами yandex.ru и google.ru, а также учета частоты посещения страниц данные web-порталы Оператор использует службы Yandex.Metrika и GoogleAnalytics, технологии cookies. В момент посещения пользователем той или иной страницы Оператора, браузер пользователя, выполняя сервисные коды служб Yandex.Metrika и GoogleAnalytics, передает в них информацию о факте посещения страницы, о времени посещения и времени нахождения на странице, об адресе страницы, с которой произошел переход на текущую страницу, IP-адрес, данные об аппаратных событиях, файлы cookies, сведения о местоположении, уникальные номера приложений.
Обработка персональных данных осуществляется в целях улучшения работы сайта Оператора, совершенствования программных продуктов Оператора, определения предпочтений пользователя, предоставления целевой информации по продуктам и услугам Оператора.
7. Трансграничная передача персональных данных
Оператор не производит трансграничную передачу персональных данных.
8. Перечень действий, совершаемых оператором с персональными данными
Оператор осуществляет:
-
сбор;
-
систематизацию;
-
накопление;
-
хранение;
-
уточнение (обновление, изменение);
-
использование;
-
передачу (предоставление, доступ);
-
блокирование;
-
уничтожение персональных данных.
9. Способы обработки персональных данных Оператором
В зависимости от информационной системы, используемой Оператором обработка персональных данных может осуществляться путем:
-
смешанной обработки с передачей по внутренней сети Оператора с передачей по сети интернет;
-
автоматизированной обработки без передачи по внутренней сети Оператора с передачей по сети интернет;
-
смешанной обработки без передачи по внутренней сети Оператора без передачи по сети интернет.
10. Сроки обработки персональных данных
Обработка персональных данных Оператором, в том числе их хранение, осуществляется в течение сроков, установленных действующим законодательством, а также локальными нормативными актами.
11. Порядок и условия обработки персональных данных
11.1. Обработка персональных данных Оператором осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.
11.2. Оператор без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.
11.3. В целях информационного обеспечения Оператор может создавать справочные материалы, в которые с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, номер телефона (рабочего, сотового), адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
11.4. Доступ к обрабатываемым Оператором персональным данным разрешается только работникам Оператора, занимающим должности, включенные в перечень должностей Первая Обслуживающая Компания, ООО, при замещении которых осуществляется обработка персональных данных.
11.5. Оператор осуществляет передачу персональных данных государственным органам в рамках и в соответствии с законодательством РФ.
11.6. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
11.7. Доступ к обрабатываемым персональным данным предоставляется только тем работникам Оператора, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности.
11.8. Оператор обеспечивает раздельное хранение персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных.
11.9. Хранение материальных носителей персональных данных осуществляется Оператором с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним.
11.10. Обработка персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или соглашением с субъектом персональных данных не установлен соответствующий срок хранения.
11.11. При достижении целей обработки персональных данных, а также в случае отзыва Субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
-
иное не предусмотрено договором;
-
оператор не вправе осуществлять обработку без согласия Субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или иными федеральными законами;
-
иное не предусмотрено иным соглашением между оператором и Субъектом персональных данных.
11.12. Обработка персональных данных осуществляется с соблюдением конфиденциальности.
12. Порядок и условия обработки персональных данных в информационных системах
12.1. Обработка ПДн в информационных системах осуществляется после реализации организационных и технических мер по обеспечению безопасности персональных данных, определённых с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
12.2. Обеспечение безопасности при обработке персональных данных, содержащихся в информационных системах органов и подведомственных организаций осуществляется в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21.
12.3. Уполномоченному сотруднику Оператора, имеющему право осуществлять обработку персональных данных в информационных системах, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе. Доступ предоставляется в соответствии с функциями, предусмотренными должностными (функциональными) обязанностями работников.
12.4. Информация может вноситься как в автоматическом режиме при получении персональных данных с официального сайта Оператора в сети Интернет, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
12.5. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах Оператора, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия соответствующих мер по обеспечению безопасности.
12.6. В случае выявления нарушений порядка обработки персональных данных уполномоченными работниками Оператора незамедлительно принимаются меры по установлению причин нарушений и их устранению.
12.7. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
-
идентификация и аутентификация субъектов доступа и объектов доступа;
-
управление доступом субъектов доступа к объектам доступа;
-
ограничение программной среды;
-
защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;
-
регистрация событий безопасности;
-
антивирусная защита;
-
обнаружение (предотвращение) вторжений;
-
контроль (анализ) защищенности персональных данных;
-
обеспечение целостности информационной системы и персональных данных;
-
обеспечение доступности персональных данных;
-
защита среды виртуализации;
-
защита технических средств;
-
защита информационной системы, ее средств, систем связи и передачи данных;
-
выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных, и реагирование на них;
-
управление конфигурацией информационной системы и системы защиты персональных данных.
12.8. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия. Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе. Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе. Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
12.9. В соответствии с пунктом 11 статьи 19 Федерального закона от 27.07.2006 № 152- ФЗ «О персональных данных» под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
13. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения
13.1. Оператор в рамках своей деятельности может осуществлять распространение персональных данных субъекта персональных данных при наличии соответствующего согласия субъекта персональных данных, полученного в строгом соответствии с требованиями статьи 10.1 152-ФЗ.
13.2. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий. Субъект персональных данных самостоятельно может определить категории и перечень персональных данных, разрешенных для распространения.
13.3. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить условия и запреты, накладываемые на перечень и категории персональных данных разрешенных субъектом персональных данных для распространения.
13.4. Распространение персональных данных производится Оператором на соответствующих информационных ресурсах Оператора, размещенных в телекоммуникационной сети «Интернет».
14. Права и обязанности субъектов персональных данных
14.1. Субъекты персональных данных имеют право на:
-
полную информацию об их персональных данных, обрабатываемых Оператором;
-
доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом, а также на доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
-
уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
-
отзыв согласия на обработку персональных данных;
-
принятие предусмотренных законом мер по защите своих прав;
-
обжалование действия или бездействия Оператором, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
-
осуществление иных прав, предусмотренных законодательством Российской Федерации.
14.2. В связи с тем, что безопасность определяется не только уровнем защиты портала, к которому подключается Субъект персональных данных, но и уровнем защиты рабочего места, с которого осуществляется доступ, для безопасной работы субъект персональных данных/пользователь должен следовать следующим рекомендациям:
-
использовать на рабочем месте исключительно лицензионное программное обеспечение;
-
устанавливать все необходимые обновления безопасности, рекомендуемые производителем программного обеспечения;
-
устанавливать и регулярно обновлять лицензионное антивирусное программное обеспечение, регулярно проводить проверку на отсутствие вирусов;
-
не загружать программ и данных из непроверенных источников, не посещать сайты сомнительного содержания;
-
не заходить в личный кабинет со случайных компьютеров, интернет-кафе либо иных недоверенных рабочих мест;
-
не передавать кому-либо токены для авторизации на портале, либо информацию для входа в личный кабинет, следить за сохранностью средств доступа.
14.3. При использовании Субъектом ПДн функционала программного обеспечения Оператора может применяться технология cookies. Субъект ПДн вправе ограничить или запретить использование технологии cookies путем применения соответствующих настроек в браузере.
15. Обеспечение защиты персональных данных при их обработке Оператором
Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ “О персональных данных” и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152 “О персональных данных”, постановлением Правительства от 15 сентября 2008 года № 687 “Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”, постановлением Правительства от 01 ноября 2012 года № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”, приказом ФСТЭК от 18 февраля 2013 года № 21 “Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных”, и другими нормативными правовыми актами, если иное не предусмотрено федеральными законами. К таким мерам относятся:
-
назначение Оператором ответственного за обработку ПДн и ответственного за безопасность при обработке ПДн;
-
издание Оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных нормативных актов по вопросам обработки персональных данных, а также локальных нормативных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
-
установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны и сетям Интернет без применения установленных Оператором мер по обеспечению безопасности персональных данных;
-
хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
-
получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
-
осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону “О персональных данных” и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным нормативным актам Оператора;
-
определение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона “О персональных данных”, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом “О персональных данных”;
-
организация обучения и проведение методической работы с работниками обособленных подразделений Оператора, занимающими должности, включенные в перечень должностей Оператора, при замещении которых осуществляется обработка персональных данных;
-
ознакомление сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников.
Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными нормативными актами Первая Обслуживающая Компания, ООО, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Первая Обслуживающая Компания, ООО.
16. Контроль за соблюдением законодательства Российской Федерации и локальных нормативных актов Первая Обслуживающая Компания, ООО в области обработки персональных данных, в том числе требований к защите персональных данных
16.1. Контроль за соблюдением структурными подразделениями Первая Обслуживающая Компания, ООО законодательства Российской Федерации и локальных нормативных актов Оператора в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных в Первая Обслуживающая Компания, ООО законодательству Российской Федерации и локальным нормативным актам Оператора в области персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Российской Федерации в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
16.2. Внутренний контроль за соблюдением сотрудниками Оператора законодательства РФ и локальных нормативных актов Оператора в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом, ответственным за организацию обработки персональных данных в Первая Обслуживающая Компания, ООО, а в обособленных подразделения Оператора – лицами, назначенными таковыми. Персональная ответственность за соблюдение требований законодательства Российской Федерации и локальных нормативных актов Оператора в области персональных данных в обособленном подразделении Оператора, а также за обеспечение конфиденциальности и безопасности персональных данных в указанных подразделениях Оператора возлагается на их руководителей.
17. Актуализация, исправление, уничтожение персональных данных
17.1. Актуализация и исправление персональных данных. В случае предоставления субъектом персональных данных фактов о неполных, устаревших, недостоверных или незаконно полученных персональных данных Оператор обязан принять меры:
-
в случае подтверждения факта неточности персональных данных персональные данные подлежат их актуализации оператором;
-
в случае неправомерности их обработки такая обработка должна быть прекращена.
17.2. Уничтожение персональных данных. При достижении целей обработки персональных данных, а также в случае истечения срока согласия на обработку персональных данных или отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
-
иное не предусмотрено договором, выгодоприобретателем или поручителем по которому является субъект персональных данных;
-
оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
-
иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.
18. Реагирование на запросы субъектов персональных данных
18.1. Действия в ответ на запросы по ПДн В случае поступления Запроса субъекта ПДн или его представителя по персональным данным необходимо выполнить следующие действия:
18.1.1. При получении запроса субъекта персональных данных или его представителя на наличие ПДн необходимо в течение 30 дней с даты получения запроса (согласно пункту 1 статьи 20 152-ФЗ) подтвердить обработку ПДн, в случае ее осуществления. Если обработка ПДн субъекта не ведется, то в течение 30 дней с даты получения запроса (согласно пункту 2 статьи 20 152-ФЗ) необходимо отправить уведомление об отказе подтверждения обработки ПД.
18.1.2. При получении запроса субъекта персональных данных или его представителя на ознакомление с ПДн необходимо в течение 30 дней с даты получения запроса (согласно пункту 1 статьи 20 152-ФЗ) предоставить для ознакомления ПДн, в случае осуществления обработки этих ПДн. Если обработка ПДн субъекта не ведется, то в течение 30 дней с даты получения запроса (согласно пункту 2 статьи 20 152-ФЗ) необходимо отправить уведомление об отказе предоставления информации по ПДн. Субъект ПДн или его представитель имеет право получение информации, касающейся обработки его ПДн, в том числе содержащей: − Подтверждение обработки ПДн, а также правовые основания и цели такой обработки. − Способы обработки ПДн. − Сведения о лицах, которые имеют доступ к ПДн. − Перечень обрабатываемых ПДн и источник их получения. − Сроки обработки ПДн, в том числе сроки их хранения.
18.1.3. При получении запроса субъекта персональных данных или его представителя на уточнение ПДн необходимо внести в них необходимые изменения в срок, не превышающий 7 рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет Оператор, являются неполными, неточными или неактуальными (согласно пункту 3 статьи 20 152-ФЗ) и отправить уведомление о внесенных изменениях. Если обработка ПДн субъекта не ведется или не были предоставлены сведения, подтверждающие, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет Оператор, являются неполными, неточными или неактуальными, то необходимо в течение 30 дней с даты получения запроса отправить уведомление об отказе осуществления изменения ПДн.
18.1.4. При получении запроса субъекта персональных данных или его представителя на уничтожение ПДн необходимо их уничтожить в срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки (согласно пункту 3 статьи 20 152-ФЗ) и отправить уведомление об уничтожении. Если обработка ПДн субъекта не ведется или не были предоставлены сведения, подтверждающие, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет Оператор, являются незаконно полученными или не являются необходимыми для заявленной цели обработки, а также в силу необходимости обработки ПДн по требованиям иных законодательных актов, то необходимо в течение 30 дней с даты получения запроса отправить уведомление об отказе уничтожения ПДн.
18.1.5. При получении запроса на отзыв согласия на обработку ПДн необходимо прекратить их обработку и, в случае, если сохранение ПДн более не требуется для целей обработки персональных данных, уничтожить ПДн в срок, не превышающий 30 дней с даты поступления указанного отзыва (согласно пункту 5 статьи 21 152-ФЗ), если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами (согласно пункту 5 статьи 21 152-ФЗ).
18.1.6. При выявлении неточных ПДн при обращении или по запросу субъекта ПДн или его представителя необходимо их блокировать с момента такого обращения или получения такого запроса на период проверки (согласно пункту 1 статьи 21 152-ФЗ). Если факт неточности ПДн подтвержден на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов, необходимо уточнить персональные данные в течение 7 рабочих дней со дня представления таких сведений и снять блокирование персональных данных (согласно пункту 2 статьи 21 152-ФЗ). Если факт неточности ПДн не подтвержден, то необходимо отправить уведомление об отказе изменения ПДн.
18.1.7. При выявлении неправомерных действий Оператора с ПДн при обращении или по запросу субъекта ПДн или его представителя необходимо в срок, не превышающий трех рабочих дней с даты этого выявления, прекратить неправомерную обработку персональных данных (согласно пункту 3 статьи 21 152-ФЗ). В случае если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных (согласно пункту 3 статьи 21 152-ФЗ), обязан уничтожить такие персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
18.1.8. При достижении целей обработки ПДн Оператор обязан незамедлительно прекратить обработку ПДн, уничтожить соответствующие ПДн в срок, не превышающий 30 дней с даты достижения цели обработки ПДн (согласно пункту 4 статьи 21 152-ФЗ), если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных 152-ФЗ или другими федеральными законами.
18.1.9. Оператор прекращает распространение персональных данных субъекта персональных данных в течение трех рабочих дней (п. 1 ст. 10.1 152-ФЗ) при поступлении в адрес Оператора требования субъекта персональных данных о прекращении передачи (распространение, предоставление, доступ) персональных данных.
18.2. Порядок прием запросов от субъектов ПДн.
18.2.1. Запрос субъекта ПДн или его представителя подается в письменной форме одним из следующих способов:
-
-
по почте в адрес Оператора: 194156, г. Санкт-Петербург, Большой Сампсониевский пр-кт, д. 108, кв. 37;
-
по электронной почте: info@pervayaspb.ru.
-
18.2.2. Запрос на получение информации, касающейся обработки персональных данных, перечисленной в п. 7 ст. 14 152-ФЗ, предоставляется субъектом ПДн в произвольной форме и должен содержать следующие необходимые сведения о субъекте ПДн:
-
-
номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя,
-
сведения о дате выдачи указанного документа и выдавшем его органе,
-
сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором,
-
подпись субъекта персональных данных или его представителя.
-
18.2.3. Запрос/требование на прекращение передачи (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, перечень персональных данных, обработка которых подлежит прекращению, а также информационный ресурс, на котором они размещены.
18.2.4. При поступлении запроса субъекта ПДн или его представителя сотрудник Оператора обязан зарегистрировать запрос в «Журнале учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных».
18.2.5. Срок регистрации запроса составляет 3 рабочих дня со дня получения запроса Оператором.
18.2.6. Сроки, указанные в п. 18.1 Политики, исчисляются с даты регистрации запроса субъекта ПДн или его представителя.
18.2.7. После регистрации запроса сотрудник Оператора сверяет сведения в запросе с предоставленными ему документами.
18.2.8. К обработке принимаются запросы, оформленные в соответствии с требованиями действующего законодательства.
18.2.9. Оператор в соответствии с п. 18.1 Политики и в сроки, указные в нем, осуществляет соответствующие действия в ответ на запрос субъекта ПДн или его представителя, а также направляет уведомление субъекту ПДн или его представителю в адрес, указный в запросе либо по электронной почте, с которой пришел запрос.
19. Заключительные положения
Положения настоящей Политики вступает в силу с момента ее утверждения и действует до ее отмены.