УТВЕРЖДЕНА
приказом ООО «Альфаро Про»
№ 39 от 01.11.2021 г.
ПОЛИТИКА ЗАЩИТЫ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ООО «АЛЬФАРО ПРО»
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика защиты и обработки персональных данных ООО «Альфаро Про» (далее – Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Информация об операторе:
Полное наименование: Обществом с ограниченной ответственностью «Альфаро Про».
Сокращенное наименование: ООО «Альфаро Про».
Юридический адрес: 410028, Саратовская область, г. Саратов, ул. им. Горького А.М., 30А.
Почтовый адрес: 410012, Саратовская область, г. Саратов, ул. им. Горького А.М., 30А.
Электронная почта: hello@alfaro.pro.
Телефон: 8 (800) 222-48-58.
1.3. Политика является основополагающим документом ООО «Альфаро Про» (далее – Общество), закрепляющем ключевые направления его деятельности в области обработки и защиты персональных данных и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые Обществом.
1.4. Политика разработана на основании:
• Конституции РФ;
• Гражданского Кодекса РФ;
• Трудового Кодекса РФ;
• Закона о персональных данных;
• Федерального закона от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Указа Президента Российской Федерации от 06.03.1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
• постановления Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• постановления Правительства Российской Федерации от 06.07.2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
• постановления Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• приказа ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13.02.2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
• приказа ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• приказа Роскомнадзора от 05.09.2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
• Федерального закона от 28.06.1991 г. «О медицинском страховании граждан в Российской Федерации» № 1499.
1.5. Обработка персональных данных должна осуществляться на основе принципов:
• законности целей и способов обработки персональных данных и добросовестности;
• соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Общества;
• соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
• достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;
• уничтожения персональных данных после достижения целей обработки или в случае утраты необходимости в их достижении;
• личной ответственности Работников за сохранность и конфиденциальность персональных данных, а также материальных носителей этой информации.
1.6. Политика действует в отношении всех персональных данных, которые обрабатывает Общество.
1.7. Политика распространяется на отношения в области обработки персональных данных, возникшие у Общества как до, так и после утверждения Политики.
1.8. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Общества.
1.9. В Политике применены следующие термины и определения:
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
• сбор;
• запись;
• систематизация;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передачу (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление;
• уничтожение.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Использование персональных данных – действия (операции) с персональными данными, совершаемые Оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится
невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Информация – сведения (сообщения, данные) независимо от формы их представления.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Субъект персональных данных – физическое лицо, к которому прямо или косвенно относятся персональные данные, обрабатываемые оператором.
Защита персональных данных – деятельность, направленная сохранение конфиденциальности персональных данных, на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные данные.
Сайт Общества – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу: https://alfaro.pro.
Пользователь – любой посетитель Сайта Общества: https://alfaro.pro.
Файлы cookie (куки) – данные, которые автоматически передаются Обществу в процессе использования Сайта с помощью установленного на устройстве Пользователя программного обеспечения, в том числе IP-адрес, географическое местоположение, информация о браузере и виде операционной системы устройства Пользователя, технические характеристики оборудования и программного обеспечения, используемых Пользователем, дата и время доступа к Сайту, информация о действиях Пользователя на Сайте.
1.10. На Сайте Общества происходит сбор и обработка обезличенных данных о Пользователях (в т.ч. файлов cookie) с помощью сервисов интернет-статистики (Яндекс Метрика, Google Analytics, Firebas Google,Tune, Amplitude, Сегменто и других). Общество обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов cookie и использование технологии JavaScript), на котором выполнен вход на Сайт.
1.11. Политика является обязательной всех Работников, имеющих доступ к персональным данным, обрабатываемых Обществом.
1.12. Правовые основания обработки персональных данных:
• нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти;
• договоры, заключаемые между Обществом и субъектом персональных данных;
• согласие на обработку персональных данных.
1.13. Источники получения персональных данных:
• субъект персональных данных;
• законный представитель субъекта персональных данных.
1.14. В случае несогласия с условиями Политики Пользователь должен немедленно прекратить любое использование Сайта. Принимая условия Политики, Пользователь соглашается на использование файлов cookie.
2. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Обработка персональных данных осуществляется Обществом в соответствии с требованиями законодательства Российской Федерации.
2.2. Обработка персональных данных осуществляется Обществом с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
2.3. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
2.4. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено Обществу:
• непосредственно;
• с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
2.5. Общество обрабатывает персональные данные Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на Сайте Общества. Заполняя соответствующие формы и/или отправляя свои персональные данные Обществу, Пользователь выражает свое согласие с настоящей Политикой.
2.5.1. Общество не проверяет предоставляемые Пользователем персональные данные и исходит из того, что при их предоставлении на Сайте:
• Пользователь является дееспособным лицом. В случае недееспособности лица, использующего Сайт, согласие на обработку его персональных данных предоставляется законным представителем Пользователя, который ознакомился и принял условия обработки персональных данных, указанные в настоящей Политике.
• указывает достоверную информацию о себе или о представляемом недееспособном лице. Пользователь самостоятельно поддерживает предоставленные персональные данные в актуальном состоянии.
2.5.2. Пользователь принимает условия Политики и дает Обществу добровольное, предметное. информированное и осознанное согласие на обработку своих персональных данных на условиях, предусмотренных Политикой и Законом:
• для персональных данных, которые Пользователь предоставляет Обществу при заполнении формы обратной связи в сети Интернет на Сайте Пользователь считается предоставившим согласие на обработку своих персональных данных, внесенных в поля формы обратной связи, в момент при проставлении галочки в поле «Я согласен с условиями обработки персональных данных» (поле может называться иным аналогичным образом, отражающим согласие) или нажатия кнопки, подтверждающей отправку заявки (кнопки могут называться «Отправить», «Оставить заявку», и иным аналогичным образом);
• при любом использовании Сайта – для персональных данных, которые автоматически передаются Обществу в процессе использования Сайта с помощью установленного на устройстве Пользователя программного обеспечения. Пользователь считается предоставившим согласие на обработку своих персональных данных в момент начала использования Сайта.
2.5.3. Совершая действия, указанные в п. 2.5.2 настоящей Политики, Пользователь дает Обществу согласие на обработку соответствующих персональных данных, печень которых указан в п. 2.16. Политики, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление третьим лицам, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных с использованием и без использования средств автоматизации в соответствии с целями, указанными в п. 2.12. настоящей Политики
2.6. Согласия на обработку персональных данных от Работников Общество получает в письменном виде в бумажной форме и/или в форме электронного документа (в порядке и в случаях, предусмотренных локальными нормативно-правовыми актами Общества).
2.7. Согласия на обработку персональных данных от субъектов персональных данных, не относящихся к Работникам и Пользователям, Общество получает в письменном виде в бумажной форме и/или в форме электронного документа в порядке, предусмотренном законодательством РФ и/или соглашением с таким субъектом.
2.8. Общество осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
Персональные данные Обществом обрабатываются как на бумажных носителях, так и в электронном виде – в компьютерных программах (электронных базах данных).
2.9. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети интернет, Общество обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.
2.10. К обработке персональных данных допускаются Работники Общества (далее – Работники), должностные обязанности которых предусматривают обработку персональных данных.
2.11. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Общество собирает данные в объеме, необходимом для достижения выше названных целей.
2.12. Обработка Обществом персональных данных Пользователей осуществляется в следующих целях:
• предоставления Пользователю доступа к сервисам, информации и/или материалам, содержащимся на сайте Общества;
• уточнения деталей обращения Пользователя;
• предоставления ответа Пользователям, обратившимся через формы обратной связи на сайте;
• улучшение качества обслуживания Пользователя;
• улучшения качества Сайта и его содержания, модернизация Сайта;
• статистические и иные исследования на основе обезличенной информации, предоставленной Пользователем;
• публикации оставленных Пользователем отзывов об Обществе и его продукции.
2.13. Обработка Обществом прочих персональных данных осуществляется в следующих целях:
• обеспечения соблюдения Конституции, федеральных законов и иных нормативных правовых актов Российской Федерации;
• осуществления Обществом своей деятельности в соответствии с Уставом Общества;
• заключения, исполнения и прекращения гражданско-правовых договоров с физическими и юридическими лицами, индивидуальными предпринимателями в порядке, предусмотренном действующим законодательством Российской Федерации и Уставом Общества;
• осуществления гражданско-правовых отношений;
• использования при наполнении сайта Общества, в том числе сведениями о Работниках Общества, а также отзывами покупателей продукции Общества и иное наполнение;
• ведения бухгалтерского учета;
• осуществления пропускного режима;
• заполнения и передачи в органы исполнительной власти и иные уполномоченные организации требуемых сведений и форм отчетности;
• соблюдения трудового законодательства и иных актов, содержащих нормы трудового права, включая учет труда и его оплаты, принятие управленческих и кадровых решений в отношении работников, контроля над трудовой дисциплиной;
• обеспечения личной безопасности Работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
• содействия соискателям и работникам в трудоустройстве, получении образования и продвижении по службе;
• использования при ведении официальных страниц Общества в социальных сетях и мессенджерах;
• ведения кадрового делопроизводства;
• трудоустройства, оформления трудовых отношений, получения Работниками образования и продвижения по службе, контроля количества и качества выполняемой работы, обеспечения безопасности Работников и сохранности имущества Общества;
• привлечения и отбора кандидатов на работу в Обществе, принятия Обществом решения о приеме либо отказе в приеме на работу;
• организации постановки на индивидуальный (персонифицированный) учет Работников в системе обязательного пенсионного страхования;
• исполнения законодательства Российской Федерации по хранению документов уволенных Работников;
• осуществления расчета и выплаты Работникам причитающейся им заработной платы, иных вознаграждений, расчета и перечисления налогов и страховых взносов;
• ведения воинского учета;
• предоставления дополнительных услуг Работникам и членам их семей за счет Общества (оплата корпоративной телефонной связи, организация корпоративных мероприятий и т.д.);
• выполнения требований нормативных правовых актов органов государственного статистического учета;
• предоставления работникам льгот и гарантий, предусмотренных законодательством для лиц, имеющих (усыновивших) детей, лиц с семейными обязанностями;
• организации обучения Работников;
• оформления карты зарплатного проекта для Работников;
• оформления полисов добровольного медицинского страхования для Работников;
• организации командировок для Работников;
• исполнения обязательств, возникших при заключении договорных отношений;
• публикации данных физических лиц, в том числе Работников, работников контрагентов Общества, иных лиц с их согласия на сайте, в социальных сетях, визитках, промо–материалах и рекламных материалах;
• публикации отзывов об Обществе и его продукции;
• оформления доверенностей;
• взаимодействия со СМИ;
• осуществления коммуникации с юридическими лицами-клиентами;
• осуществления коммуникации с юридическими лицами-партнерами;
• предоставления ответа физическим лицам, обратившимся через формы обратной связи на сайте;
• осуществления маркетинговых рассылок;
• выполнения требований Трудового кодекса РФ об информировании родственников о несчастных случаях;
• страхования жизни и медицинского страхования членов семей работников;
• рассмотрения поступающих от заявителей заявлений, предложений, жалоб, претензий и иных документов, подготовка ответов на них;
• выполнения Обществом действий по запросу представителей субъектов персональных данных;
• оформления постоянных пропусков в помещения Общества;
• обеспечения возможности прохода в помещения Общества лиц, не имеющих постоянных пропусков, контроль их убытия из охраняемых помещений;
• иных законных целей, прямо указанных в согласиях на обработку персональных данных или в соглашениях с субъектами персональных данных или для которых в соответствии с законодательством РФ не требуется получение согласия.
2.14. Обрабатываются персональных данных следующих субъектов персональных данных:
• физические лица, состоящие с Обществом в трудовых отношениях;
• физические лица, уволившиеся из Общества;
• физические лица, являющиеся кандидатами на работу в Общество;
• физические лица, являющиеся родственниками Работников и бывших Работников Общества;
• физические лица, заполнившие и/или отправившие самостоятельно через специальные формы, расположенные на Сайте Общества, свои персональные данные для получения обратной связи;
• физические лица, предоставившие свой отзыв на продукцию Общества;
• физические лица, состоящие с Обществом в гражданско-правовых отношениях;
• физические лица, являющиеся клиентами и контрагентами Общества;
• физические лица, являющиеся представителями и/или работниками юридических лиц, состоящих с Обществом в гражданско-правовых отношениях;
• физические лица, являющиеся представителями и/или работниками юридических лиц – клиентов и контрагентов Общества;
• иные физические лица, давшие согласие на обработку своих персональных данных в целях, указанных в таких согласиях.
2.15. Персональные данные, обрабатываемые Обществом:
• данные, полученные при осуществлении трудовых отношений;
• данные, полученные для осуществления отбора кандидатов на работу;
• данные, полученные при осуществлении гражданско-правовых отношений;
• данные, полученные от Пользователей сайта Общества;
• данные, полученные от потребителей продукции Общества, в виде отзывов;
• иные данные, полученные от субъектов персональных данных с их согласия.
2.16. Общество может обрабатывать следующие персональные данные Пользователя: фамилия, имя, отчество; номер телефона; адрес электронной почты, файлы cookie.
Конкретизация категорий персональных данных Работников, обрабатываемых Обществом, осуществляется в локальных нормативно-правовых актах Общества и согласиях Работников на обработку персональных данных.
В отношении остальных субъектов персональных данных Общество может обрабатывать те их персональные данные, на обработку которых субъектом персональных данных дано согласие, и/или согласие на обработку которых в силу законодательства РФ не требуется.
2.17. Срок обработки персональных данных является неограниченным, но не дольше, чем это необходимо для целей обработки, если срок не указан в согласии на обработку персональных данных. Субъект персональных данных, предоставивший Обществу согласие на обработку своих персональных данных, может в любой момент отозвать свое согласие на обработку персональных данных, направив Обществу уведомление.
3. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ.
ПЕРЕДАЧА, ПРЕДОСТАВЛЕНИЕ И РАСПРОСТРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Хранение и защита персональных данных субъектов от неправомерного их использования или утраты обеспечивается Обществом за счет собственных средств.
3.2. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
3.3. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
Для защиты персональных данных создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.
3.4. Защита персональных данных представляет собой регламентированный процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе деятельности Общества.
3.5. Общество принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
• определяет угрозы безопасности персональных данных при их обработке, разрабатывает меры и мероприятия по защите персональных данных от выявленных угроз;
• принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
• назначает лиц, ответственных за организацию обработки персональных данных и за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Общества, которые осуществляют организацию обработки персональных данных, внутренний контроль за соблюдением Обществом и его Работниками требований к защите персональных данных;
• создает необходимые условия для работы с персональными данными;
• организует работу с информационными системами, в которых обрабатываются персональные данные;
• устанавливает индивидуальные пароли доступа Работников в информационные системы, в которых Обществом осуществляется обработка персональных данных, в соответствии с их должностными обязанностями;
• применяет сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;
• хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
• регламентирует доступ Работников к обработке персональных данных;
• осуществляет иные меры, обязательные в силу законодательства РФ.
3.6. Общество обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.
3.7. Передача третьим лицам персональных данных без письменного (на бумаге или электронной форме) согласия субъекта персональных данных не допускается.
3.8. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
3.9. При наличии законных оснований получателем персональных данных субъекта могут являться:
• налоговые органы;
• Пенсионный Фонд РФ;
• Фонд социального страхования РФ;
• Федеральная служба государственной статистики РФ;
• Фонд обязательного медицинского страхования РФ;
• правоохранительные органы, органы дознания и следствия;
• другие уполномоченные органы исполнительной власти и организации;
• банки и иные кредитные организации.
Передача персональных данных в вышеперечисленные органы и организаций осуществляется в соответствии с требованиями законодательства Российской Федерации.
3.10. В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных, передача персональных данных в адрес третьих лиц производится на основании договора поручения на обработку персональных данных, в целях и объеме необходимом для реализации функций Общества, с учетом требований предъявляемых к защите обрабатываемых персональных данных.
3.11. Общество до начала осуществления трансграничной передачи персональных данных обязано убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных.
3.12. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме (на бумаге или электронной форме) субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект персональных данных.
3.13. Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, если иное не определено законодательством РФ.
4. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Общество осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, согласием, договором или соглашением.
4.2. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
4.3. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
4.4. Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
4.5. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) в информационная система персональных данных.
4.6. Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
5. УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка, хранение персональных данных по общему правилу происходит до утраты правовых оснований.
5.2. Условием прекращения обработки персональных данных является достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
5.3. При прекращении обработки персональных данных персональные данные подлежат уничтожению, за исключением если:
• иное предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
• оператор вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
• иное предусмотрено другим соглашением между Обществом и субъектом персональных данных.
5.4. Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
5.5. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
5.6. Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей.
5.7. В случае достижения цели обработки персональных данных Общество обязано незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней, и, если это предусмотрено законодательством РФ, уведомить об этом субъекта персональных данных, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
5.8. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Общество обязано прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней, если иное не предусмотрено соглашением между Обществом и субъектом персональных данных и/или не предусмотрено законом. Об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных.
6. ОСНОВНЫЕ ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ И ОБЯЗАННОСТИ ОПЕРАТОРА
6.1. Субъект имеет право на доступ к его персональным данным и следующим сведениям:
• подтверждение факта обработки персональных данных Обществом;
• правовые основания и цели обработки персональных данных;
• цели и применяемые Обществом способы обработки персональных данных;
• наименование и место нахождения Общества, сведения о лицах (за исключением Работников Общества), которые имеют доступ к персональных данных или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
• перечень обрабатываемых персональных данных и источник их получения;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных законодательством РФ в отношении персональных данных;
• наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
• сведения о том, какие юридические последствия для Субъекта может повлечь за собой обработка его персональных данных.
6.2. Субъект персональных данных также имеет право:
• на обращение к Обществу и направление ему запросов;
• на определение форм и способов обработки персональных данных;
• на отзыв согласия на обработку персональных данных;
• ограничивать способы и формы обработки персональных данных;
• запрет на распространение персональных данных без его согласия;
• требовать изменения, уточнения, уничтожения информации о себе;
• обжаловать неправомерные действия или бездействия по обработке персональных данных и требовать соответствующей компенсации в суде;
• на дополнение персональных данных оценочного характера заявлением, выражающим его собственную точку зрения;
• определять представителей для защиты своих персональных данных;
• требовать от Общества уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта персональных данных, обо всех произведенных в них изменениях или исключениях из них.
6.3. В целях обеспечения прав и свобод человека и гражданина Общество при обработке персональных данных субъекта обязано:
• при сборе персональных данных предоставить субъекту персональных данных информацию об обработке персональных данных;
• персональные данные субъекта следует получать у субъекта персональных данных, если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (на бумаге или электронной форме);
• если персональные данные были получены не от субъекта персональных данных, уведомить субъекта персональных данных, за исключением, когда такое уведомление в силу закона необязательно;
• при отказе в предоставлении персональных данных субъекту персональных данных разъясняются последствия такого отказа;
• опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
• принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
• давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.
7. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
7.1. Подтверждение факта обработки персональных данных Обществом, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Обществом субъекту персональных данных или его представителю при обращении либо при получении запроса от субъекта персональных данных или его представителя (далее – Запрос) течение тридцати дней с даты получения соответствующего Запроса.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
7.2. Запрос должен содержать:
• номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом;
• подпись субъекта персональных данных или его представителя.
7.3. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
7.4. Если в Запросе не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
7.5. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Общество осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
7.6. В случае подтверждения факта неточности персональных данных Общество на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
7.7. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Общество осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
8.1. В случае выявления неточностей в персональных данных и/или их устаревании, субъект персональных данных, предоставивший Обществу согласие на обработку своих персональных данных, может актуализировать их, предоставив Обществу актуальную информацию.
8.2. Субъект персональных данных, предоставивший Обществу согласие на обработку своих персональных данных, и/или планирующий предоставить Обществу указанное согласие, может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Обществу с помощью электронной почты: hello@alfaro.pro.
9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
9.1. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
9.2. Общество и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
9.3. Ответственность за нарушение требований законодательства Российской Федерации и нормативных документов Общества в области персональных данных определяется в соответствии с законодательством Российской Федерации.
9.4. Общество ответственно за персональную информацию, которая находится в его распоряжении и закрепляет персональную ответственность Работников за соблюдением, установленных в Обществе принципов уважения приватности.
9.5. Каждый Работник, получающий для работы доступ к материальным носителям персональным данных, несет ответственность за сохранность носителя и конфиденциальность информации.
9.6. Общество обязуется поддерживать систему приема, регистрации и контроля рассмотрения жалоб субъектов персональных данных, доступную с помощью телефонной или почтовой связи, а также посредством электронной почты и форм обратной связи, имеющихся на Сайте Общества. Жалобы и заявления по поводу соблюдения требований обработки данных рассматриваются в течение тридцати рабочих дней с момента поступления в Общество.
9.7. Любое лицо может обратиться в Общество с жалобой на нарушение данной Политики. Жалобы и заявления по поводу соблюдения требований обработки данных рассматриваются в течение тридцати рабочих дней с момента поступления.
9.8. Общество обязано на должном уровне обеспечивать рассмотрение запросов, заявлений и жалоб субъектов персональных данных, а также содействовать исполнению требований компетентных органов.
9.9. В данном документе будут отражены любые изменения настоящей политики. Политика действует бессрочно до замены ее новой версией.
Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу https://alfaro.pro.
9.10. Иные локальные нормативные акты Общества должны издаваться в соответствии с Политикой и законодательством в области обработки персональных данных.
9.11. Все вопросы по Политике просим направлять на адрес электронной почты: hello@alfaro.pro.