Политика конфиденциальности

1. Общие положения

1.1. Назначение

1.1.1. Настоящая Политика в отношении обработки персональных данных АО «Эйч энд Эн» (далее по тексту – Политика) разработанная в соответствии с Федеральным законом №152-ФЗ «О персональных данных», а также иными законодательными и подзаконными нормативно-правовыми актами в сфере Персональных данных, является локальным нормативным актом АО «Эйч энд Эн» (далее – Компания), который определяет политику Компании в отношении обработки персональных данных и излагает систему основных принципов, применяемых в отношении обработки персональных данных в Компании.

1.1.2. Политика является общедоступной и публикуется на Интернет-сайте АО «Эйч энд Эн».

1.1.3. Настоящая Политика обязательна при организации процессов обработки и обеспечения безопасности персональных данных в Компании.

1.2. Область применения

1.2.1. Действие настоящей Политики распространяется на все операции, совершаемые в Компании с персональными данными с использованием средств автоматизации или без их использования.

1.3. Термины и сокращения

Политика - Политика Компании в отношении обработки персональных данных.

Персональные данные (ПДн) - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Субъект персональных данных — физическое лицо, персональные данные которого обрабатываются.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор персональных данных - юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Ответственный за организацию обработки ПДн​ – лицо, назначенное ответственным за организацию обработки ПДн в Компании на основании ст. 22.1. ФЗ «О персональных данных» от 27.07.2006 N 152-ФЗ.

Конфиденциальность персональных данных - обязанность лиц, получивших доступ к персональным данным, не раскрывать их третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством.

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Сотрудник - физическое лицо, заключившее с Компанией трудовой договор (срочный или бессрочный) по основному месту работы, а также о работе по совместительству.

Закон о Персональных данных - Федеральный закон РФ «О персональных данных» №152-ФЗ от 27 июля 2006 г. 

Компания – АО «Эйч энд Эн».

1.4. Основные принципы организации работ в области обработки персональных данных.

1.4.1. Компания является Оператором персональных данных.

1.4.2. Важным условием реализации целей деятельности Компании является обеспечение защиты прав и свобод Субъекта персональных данных при обработке его Персональных данных, неукоснительное соблюдение требований законодательства Российской Федерации в области защиты персональных данных.

1.4.3. В Компании разработаны и введены в действие документы, устанавливающие порядок обработки и обеспечения безопасности Персональных данных и обеспечивающие соответствие деятельности Компании требованиям Закона о персональных данных и принятых в соответствии с ним нормативных правовых актов.

1.5. Основные права Субъекта персональных данных

1.5.1. На доступ к своим персональным данным;

1.5.2. На уточнение (обновление, изменение) своих персональных данных;

1.5.3. На блокирование и удаление своих персональных данных;

1.5.4. На обжалование решений, принятых на основании исключительно автоматизированной обработки их персональных данных;

1.5.5. На отзыв согласия на обработку своих персональных данных. 

Реализовать указанные права Субъект персональных данных может следующим образом:

· Подать подписанный Субъектом персональных данных (или представителем) запрос в письменной форме, указав в нем сведения о документе, удостоверяющем личность или личность представителя (тип документа, серия, номер, кем и когда выдан), ФИО Субъекта или ФИО представителя, информацию о взаимоотношениях, в ходе которых Компания получила персональные данные субъекта на адрес Компании: Россия, 127015, г. Москва, вн. тер. г. м.о. Савёловский, ул. Вятская, д. 27 стр. 13 или

· В форме электронного документа, подписанного электронной цифровой подписью, на адрес электронной почты: Dataprotection@corphn.com

1.5.6. Если Субъект персональных данных считает, что Компания осуществляет обработку его персональных данных с нарушением требований законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Компании в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.

1.6. Основные права и обязанности Оператора персональных данных

1.6.1. Оператор имеет право:

· Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.

· Поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных.

· В случае отзыва Субъектом персональных данных согласия на обработку персональных данных, Оператор вправе продолжить обработку персональных данных без согласия Субъекта персональных данных, при наличии оснований, указанных в Законе о персональных данных.

1.6.2. Оператор обязан:

· Отвечать на запросы и обращения Субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных.

· Сообщать в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) по запросу этого органа и в установленный Законодательством срок.

· Организовать обработку персональных данных в соответствии с требованиями Закона о персональных данных.

2. Основная часть.

2.1. Цели, принципы и условия обработки персональных данных в Компании

2.1.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями обработки персональных данных.

2.1.2. Обработке подлежат только персональные данные, которые отвечают целям обработки.

2.1.3. Компания, являясь Оператором персональных данных, осуществляет обработку Персональных данных в следующих целях:

· Подбор и найм персонала на вакантные должности – в отношении соискателей;

· Проведение карьерных мероприятий (в том числе лидерских программ), поддерживаемых или организуемых Компанией – в отношении участников карьерных мероприятий (в том числе лидерских программ);

· Осуществление и выполнение возложенных законодательством РФ на Компанию функций, полномочий и обязанностей в рамках трудового и налогового законодательства (включая содействие в трудоустройстве, обучении и продвижение по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, ведение кадрового документооборота, воинского и бухгалтерского учета; расчет и выплата заработной платы, расчет и перечисление налогов и страховых взносов; предоставление Работникам дополнительных услуг за счет работодателя, перечисление доходов на платежные карты работников, страхование за счет работодателя, предоставление образовательных услуг, обеспечение командировок, обеспечение пропускного режима) – в отношении Сотрудников;

· Осуществление и выполнение возложенных законодательством РФ на оператора функций, полномочий и обязанностей в рамках законодательства об охране труда (включая расследование несчастных случаев) – в отношении Сотрудников, физических лиц по договорам гражданско-правового характера и договорам аутсорсинга;

· Предоставление Сотрудникам и членам их семей набора компенсаций и льгот социального характера, не предусмотренного законодательством (включая страхование членов семей Сотрудников частично или полностью за счет Компании) – в отношении Сотрудников и родственников Сотрудников;

· Заключение и исполнение договоров с контрагентами – в отношении представителей контрагентов;

· Подготовка, заключение и исполнение гражданско-правового договора - в отношении контрагентов;

· Кадровое администрирование, включая организацию обучения, процесса предоставления компенсаций и льгот, бухгалтерского и налогового учета, контроль за соблюдением законодательства и внутренних процедур компании - в отношении сотрудников группы компаний;

· Выполнение Компанией действий по поручению Представителей субъектов персональных данных – в отношении представителей субъектов ПДн;

· Обеспечение пропускного режима на территорию Оператора (офисов, заводов, складов), предоставление возможности парковки на территории Компании – в отношении посетителей и Сотрудников;

· Взаимодействие с потребителями продукции Компании по вопросам качества и безопасности продукции (рассмотрения обращений), а также в связи с участием в акциях Компании - в отношении потребителей;

· Осуществление и выполнение возложенных законодательством РФ на Компанию функций, полномочий и обязанностей в рамках медицинского законодательства - Сотрудники, физические лица по договорам ГПХ и договорам аутсорсинга;

· Взаимодействие с представителями СМИ – в отношении представителей СМИ;

· Взаимодействие с госорганами – в отношении представителей госорганов;

· Формирование органов правления и списков аффилированных лиц – в отношении членов коллегиального и единоличного исполнительного органа, членов правления, аффилированных лиц, Сотрудников;

· Обеспечение юридического обеспечения (включая оформление и выдачу доверенности, предоставление доступа в государственные информационные системы) – в отношении Сотрудников и представителей контрагентов;

· Визовая поддержка – в отношении Сотрудников и физических лиц;

· Анализ активностей на сайтах Компании и аналитика посещения сайтов (для обеспечения корректной работы сайтов) – в отношении Посетителей сайтов Компании.

2.2. Правовые основания обработки персональных данных

2.2.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:

· При наличии согласия субъекта персональных данных на обработку его персональных данных; 

· Обработка персональных данных необходима для осуществления и выполнения возложенных законодательством на Компанию функций, полномочий и обязанностей;

· Для заключения договора по инициативе субъекта персональных данных и исполнения договора, стороной которого является субъект персональных данных. Такими договорами также являются трудовые договоры с Сотрудниками;

· Обработка персональных данных Компанией необходима для осуществления прав и законных интересов Компании и/или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъектов персональных данных;

· Обработка персональных данных осуществляется в статистических или иных исследовательских целях в соответствии с ч.9 ст. 6 Закона «О персональных данных», при условии обязательного обезличивания персональных данных;

· Обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом для распространения.

2.3. Объем и категории персональных данных, категории субъектов персональных данных

2.3.1. Оператор обрабатывает персональные данные следующих категорий субъектов: 

· Соискатели на вакантные должности. Объем обрабатываемых персональных данных: фамилия, имя, отчество, пол, дата рождения, номер телефона, адрес электронной почты, адрес фактического проживания, адрес регистрации, сведения об образовании, сведения о трудовом стаже, сведения о предыдущих местах работы, иные сведения, указанные кандидатом в резюме/анкете, или сопроводительном письме.

· Участники карьерных мероприятий (в том числе лидерских программ). Объем обрабатываемых персональных данных: фамилия, имя, адрес электронной почты, номер мобильного телефона, город проживания, дата рождения, гражданство, наименование учебного заведения в котором обучается, специальность; наименование учебного заведения, который участник окончил и год выпуска (если применимо).

· Сотрудники для осуществления и выполнения возложенных законодательством РФ на Компанию функций, полномочий и обязанностей в рамках трудового и налогового законодательства. Объем обрабатываемых персональных данных: фамилия, имя, отчество; число, месяц, год рождения; сведения о гражданстве (подданстве, резидентстве), сведения об основном документе, удостоверяющем личность; адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания; номера рабочих, домашних и мобильных телефонов, адрес электронной почты; грейд, наименование должности и структурного подразделения, сведения о составе семьи, трудовой деятельности, воинском учете; сведения об образовании и ученой степени; сведения о владении иностранными языками; фотографическое изображение в цифровой форме; сведения о профессиональной переподготовке, или повышении квалификации; результаты медицинского обследования работника на предмет годности к выполнению трудовых обязанностей; сведения о заработной плате; сведения о наличии льгот; статуса предпенсионера/пенсионера; сведения об опыте работы, сведения и реквизиты загранпаспорта.

· Сотрудники, физические лица по договорам ГПХ и договорам аутсорсинга для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей в рамках законодательства об охране труда. Объем обрабатываемых персональных данных: Фамилия, имя, отчество, дата рождения, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, данные документа, удостоверяющего личность, должность, сведения о трудовой деятельности (в том числе стаж работы), данные о трудовой занятости на текущее время, сведения о состоянии здоровья для принятия решения о возможности выполнения трудовых или договорных обязанностей.

· Сотрудники и родственники Сотрудников при предоставлении Сотрудникам и членам их семей набора компенсаций и льгот социального характера, не предусмотренного законодательством. Объем обрабатываемых персональных данных: Фамилия, имя, отчество, дата рождения, место рождения, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, данные документа, удостоверяющего личность, данные документа, содержащиеся в свидетельстве о рождении, реквизиты банковской карты, должность, сведения о состоянии здоровья.

· Представители Контрагентов при заключении и исполнении договоров с контрагентами. Объем обрабатываемых персональных данных: Фамилия, имя, отчество, должность, адрес электронной почты, номер телефона, данные, указанные в доверенности.

· Контрагенты, физические лица по договорам ГПХ. Объем обрабатываемых персональных данных: Фамилия, имя, отчество, паспортные данные, ИНН, СНИЛС, адрес регистрации, адрес электронной почты, номер телефона.

· Сотрудники группы компаний. Объем обрабатываемых персональных данных: Фамилия, имя, отчество; число, месяц, год рождения; сведения о гражданстве, сведения об основном документе, удостоверяющем личность; адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания; номер телефона, адрес электронной почты; грейд, наименование должности и структурного подразделения, сведения о составе семьи, трудовой деятельности, воинском учете; сведения об образовании и ученой степени; сведения о владении иностранными языками; сведения о профессиональной переподготовке, или повышении квалификации; сведения о заработной плате; сведения о наличии льгот; статуса пенсионера; сведения о стаже работы.

· Представители субъектов персональных данных. Объем обрабатываемых персональных данных: Фамилия, имя, отчество, данные документа, удостоверяющего личность, адрес электронной почты, номер телефона, сведения, указанные в доверенности.

· Посетители охраняемых помещений Компании, не имеющих права постоянного входа в такие помещения, Сотрудники. Объем обрабатываемых персональных данных: Фамилия, имя, отчество, данные документа, удостоверяющего личность, должность, название компании, дата и время посещения, государственный регистрационный номер автомобиля.

· Потребители продукции Компании. Объем обрабатываемых персональных данных: Фамилия, Имя, адрес электронной почты, номер телефона, сведения о приобретенном продукте, город проживания или приобретения продукта.

· Сотрудники, физические лица по договорам ГПХ и договорам аутсорсинга, при осуществлении и выполнении возложенных законодательством РФ на Компанию функций, полномочий и обязанностей в рамках медицинского законодательства. Объем обрабатываемых персональных данных: Фамилия, имя, отчество, сведения о состоянии здоровья (для Сотрудников и физических лиц, выполняющих работы по договору ГПХ, аутсорсинга) для принятия решения о возможности выполнения трудовых или договорных обязанностей.

· Представители СМИ. Объем обрабатываемых персональных данных: Фамилия, имя, отчество, занимаемая должность, место работы, номер телефона, адрес электронной почты, удостоверение представителя СМИ или пресс-карта.

· Представители государственных органов. Объем обрабатываемых персональных данных: Фамилия, имя, отчество, занимаемая должность, место работы, номер телефона, адрес электронной почты.

· Члены коллегиального и единоличного исполнительного органа, члены правления, аффилированные лица. Объем обрабатываемых персональных данных: Фамилия, имя, отчество; число, месяц, год рождения; сведения о гражданстве (подданстве, резидентстве), сведения об основном документе, удостоверяющем личность; адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания; сведения о миграционном учете, номера рабочих, домашних и мобильных телефонов, адреса электронной почты, занимаемая должность, место работы.

· Представители контрагентов и Сотрудники при юридическом обеспечении (включая оформление и выдачу доверенности, предоставление доступа в государственные информационные системы). Объем обрабатываемых персональных данных: Фамилия, имя, отчество, число, месяц и год рождения, сведения об основном документе, удостоверяющем личность, ИНН, СНИЛС, место регистрации, адрес электронной почты, номер телефона.

· Сотрудники и физические лица в рамках визовой поддержки. Объем обрабатываемых персональных данных: Фамилия, имя, отчество, сведения об основном документе, удостоверяющем личность, сведения о загранпаспорте, гражданство, место и дата рождения, адрес места жительства, адрес регистрации, сведения о ранее выданных визах, адрес электронной почты, номер телефона.

· Посетители сайтов Компании (для обеспечения корректной работы сайтов). Объем обрабатываемых персональных данных: Текстовые файлы (cookies), необходимые для корректной работы сайта, сохранения пользовательских настроек и анализа посещаемости. Для заполнения формы обратной связи, размещенной на сайте: Фамилия, Имя, Отчество (при наличии), адрес электронной почты, номер телефона, содержание запросов.

2.3.2. Компания не обрабатывает персональные данные, относящиеся к специальным категориям и касающиеся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни (за исключением сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения Сотрудником трудовой функции и необходимых для целей, определенных законодательством о государственной социальной помощи, законодательством об обязательных видах страхования, трудовым, пенсионным и страховым законодательством), о членстве субъектов персональных данных в общественных объединениях или их профсоюзной деятельности, за исключением случаев, прямо предусмотренных законодательством.

2.3.3.     Компания не обрабатывает биометрические персональные данные.

2.4. Порядок и условия обработки персональных данных.

2.4.1. Обработка персональных данных в Компании осуществляется на основе следующих принципов:

· Обработка персональных данных осуществляется на законной и справедливой основе;

· Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора ПДн;

· Обработке подлежат только ПДн, которые отвечают целям их обработки;

· Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;

· Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки;

· При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях, и актуальность по отношению к целям обработки ПДн; 

· Хранение ПДн осуществляется в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели Обработки персональных данных, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект персональных данных;

· Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;

· При обработке персональных данных Компания исходит из того, что субъекты предоставляет достоверную информацию о себе и не принимает на себя каких-либо обязательств по проверке полученных персональных данных, хотя и оставляет за собой право при необходимости выполнить такую проверку законными способами.

 2.4.2. Сроки обработки персональных данных определены с учетом:

· Сроков действия договоров с Субъектами персональных данных и согласий субъектов персональных данных на обработку их персональных данных;

· Сроков, определенными Приказом Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»;

· Сроков, определенных Постановлением ФКЦБ РФ от 16 июля 2003 г. № 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ»; 

· Иными сроками, установленными законодательством РФ и локальными нормативными актами Компании.

2.4.3. Компания прекращает Обработку персональных данных в следующих случаях:

· По достижении целей их обработки, либо в случае утраты необходимости в достижении этих целей;

· По требованию Субъекта персональных данных, если обрабатываемые в Компании персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

· В случае выявления неправомерной обработки персональных данных, если обеспечить правомерность Обработки персональных данных невозможно;

· В случае отзыва Субъектом персональных данных согласия на обработку его персональных данных (если персональные данные обрабатываются Компанией на основании согласия субъекта персональных данных в отсутствие других оснований обработки, предусмотренных Законом о персональных данных);

· Устранены причины, вследствие которых осуществлялась Обработка персональных данных, если иное не установлено федеральным законом;

· В случае ликвидации или реорганизации Компании.

2.4.4. Порядок обработки персональных данных:

· Компания не раскрывает третьим лицам и не распространяет Персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено законодательством РФ.

· Компания не осуществляет трансграничную передачу персональных данных.

· Компания не принимает решения, порождающие юридические последствия в отношении Субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной Обработки персональных данных.

· В ряде случаев Компания поручает Обработку персональных данных другим лицам на основании заключенного договора поручения. Передаваемый при этом объем персональных данных такому лицу является минимально необходимым, а в качестве существенного условия договора поручения является обязанность лица, осуществляющего обработку персональных данных, соблюдать принципы и правила обработки персональных данных и требования к их обработке, предусмотренные законодательством.  

· Компания осуществляет Обработку персональных данных с использованием средств автоматизации и без их использования. При этом Компания выполняет все требования к автоматизированной и неавтоматизированной Обработке персональных данных, предусмотренные Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами.

· При сборе персональных данных Компания обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории Компании и в дата-центрах на территории Российской Федерации.

· Обработка персональных данных осуществляется с согласия субъектов персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

· В случае получения Компанией персональных данных от контрагента на основании и в целях заключения и/или исполнения заключенного с ним договора, ответственность за правомерность и достоверность персональных данных, а также за получение согласия Представителей контрагентов на передачу их персональных данных Компании несет контрагент, передающий персональные данные.

· Персональные данные лиц, подписавших договоры с Компанией, содержащиеся в единых государственных реестрах юридических лиц и индивидуальных предпринимателей, являются открытыми и общедоступными, за исключением сведений о номере, дате выдачи и органе, выдавшем документ, удостоверяющий личность физического лица. Охрана их конфиденциальности и согласие субъектов персональных данных на обработку таких данных не требуется.

· У Компании не возникает обязанности получить согласие у субъектов персональных данных, являющихся Представителями контрагентов, подписавших договоры с Компанией, предоставивших доверенности на право действовать от имени и по поручению контрагентов Компании и тем самым совершивших конклюдентные действия, подтверждающие их согласие с обработкой персональных данных, указанных в тексте договора (доверенности). Получение такого согласия является обязанностью контрагента.

· Согласие Представителей субъектов персональных данных на обработку их персональных данных выражается в форме конклюдентных действий путем предоставления доверенности с правом действовать от имени и по поручению субъектов персональных данных и документа, удостоверяющего личность Представителя субъекта персональных данных.

· Согласие Посетителей на обработку их персональных данных дается в форме конклюдентных действий, а именно – предоставления документа, удостоверяющего личность, и сообщения сведений, запрашиваемых при посещении Компании.

· Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе является согласие в форме электронного документа, подписанного электронной подписью в соответствии с требованиями, установленными законодательством.

· Согласие субъектов на предоставление их персональных данных не требуется при получении Компанией, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов следствия и дознания, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства, и иных органов, уполномоченных запрашивать информацию в соответствии с компетенцией, предусмотренной законодательством.

2.4.5. Условия обработки персональных данных

В Компании обеспечивается реализация следующих правовых, организационных и технических мер по обеспечению условий безопасности обработки персональных данных:

2.4.5.1. Правовые:

· Изданы локальные акты по вопросам обработки и обеспечения безопасности персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;

· Отказ от любых способов обработки персональных данных, не соответствующих определенным в Политике целям и требованиям законодательства.

2.4.5.2. Организационные меры обеспечения безопасности ПДн:

· Назначен Ответственный за организацию обработки персональных данных;

· Ограничение состава Сотрудников Компании, имеющих доступ к персональным данным, организация разрешительной системы доступа к ним;

· Осуществляется внутренний контроль соответствия Обработки персональных данных требованиям Закона о персональных данных и принятых в соответствии с ним нормативных правовых актов, настоящей Политики, локальных нормативных актов Компании;

· Проводится оценка вреда, который может быть причинен Субъектам персональных данных в случае нарушения требований федерального законодательства о персональных данных, произведено соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных требованиями Закона о персональных данных и принятых в соответствии с ним нормативных правовых актов;

· Сотрудники Компании, непосредственно осуществляющие Обработку персональных данных, знакомятся с локальными нормативными актами Компании по вопросам обработки персональных данных и настоящей Политикой, а также проходят соответствующее обучение правилам обработки персональных данных в Компании;

· Ограничение допуска посторонних лиц в помещения Компании, недопущение их нахождения в помещениях, где ведется работа с персональными данными и размещаются технические средства их обработки, без контроля со стороны работников Компании. 

2.4.5.3. Технические меры к защите Персональных данных:

· Организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

· Обеспечение сохранности носителей Персональных данных;

· Определение уровня защищенности персональных данных при их обработке в информационных системах;

· Определение типа угроз безопасности персональных данных, актуальных для информационных систем персональных данных, с учетом оценки возможного вреда субъектам персональных данных, который может быть причинен в случае нарушения требований безопасности, определение уровня защищенности персональных данных и требований к защите персональных данных при их обработке в информационных системах, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

· Назначение должностного лица (Сотрудника), ответственного за обеспечение безопасности Персональных данных в информационных системах персональных данных;

· Возложение на одно из структурных подразделений Компании функций по обеспечению безопасности Персональных данных в информационных системах Персональных данных;

· К обработке персональных данных допускаются Сотрудники Компании, в должностные обязанности которых входит обработка персональных данных;

· Выявление вредоносного программного обеспечения (применение антивирусных программ) на всех узлах информационной сети Компании, обеспечивающих соответствующую техническую возможность;

· Безопасное межсетевое взаимодействие (применение межсетевого экранирования);

· Идентификацию и проверку подлинности пользователя при входе в информационную систему по паролю;

· Обнаружение вторжений в информационную систему Компании, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;

· Защиту сетевых устройств и каналов связи, по которым осуществляется передача персональных данных;

· Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (создание системы резервного копирования и восстановления персональных данных);

· Ограничение программной среды.

2.5. Актуализация, исправление, удаление, уничтожение персональных данных

2.5.1. Запрос на подтверждение факта обработки ПДн, их актуализации, удаления, уничтожения может быть направлен Субъектом персональных данных в порядке, предусмотренном в п. 1.5. настоящей Политики.

2.5.2. Компания уничтожает ПДн или обеспечивает их уничтожение, если Обработка персональных данных осуществляется другим лицом, действующим по поручению Компании:

· в случае отзыва Субъектом персональных данных согласия на обработку его ПДн в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иной срок не установлен договором, иным соглашением, федеральным законодательством, и при отсутствии иных правовых оснований Обработки персональных данных;

· в случае достижения цели Обработки персональных данных в срок, не превышающий 30 (тридцати) дней с даты достижения цели, если иной срок не установлен договором, иным соглашением, федеральным законодательством, и при отсутствии иных правовых оснований Обработки персональных данных;

· в случае представления Субъектом персональных данных, его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, в срок, не превышающий 7 (семи) рабочих дней со дня представления таких сведений;

· в случае, если невозможно обеспечить правомерность обработки ПДн, в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки ПДн;

· Порядок уничтожения ПД, в том числе хранящихся в информационных системах персональных данных, определяется Компанией в локальных нормативных актах.

3. Заключительные положения

3.1. Настоящая Политика подлежит актуализации в сроки и порядке, установленными в локальных нормативных актах Компании, а также в случае изменения законодательства РФ о персональных данных.

3.2. Ответственный за обработку персональных данных обеспечивает внутренний контроль за соблюдением Компанией и его Сотрудниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных. В случае выявления нарушений, допущенных при Обработке персональных данных и выявленных в результате внутреннего контроля и аудита соответствия Обработки персональных данных, Ответственный за обработку персональных в случае необходимости:

· организует актуализацию настоящей Политики и иных локальных актов Компании;

· инициирует применение дисциплинарного взыскания к Сотрудникам Компании;

· инициирует применение санкций к лицу, осуществляющему обработку ПДн, по поручению Компании;

· принимает иные меры, направленные на устранение выявленных нарушений.

3.3. Политика может быть изменена на основании приказа генерального директора или уполномоченного им лица.


Скачать документ