Утверждено Приказом
ООО "Парк-Строй"
№ 23/21 от «16» декабря 2021г.
Политика в отношении обработки персональных данных
1. Общие положения
1.1. Настоящая Политика (далее – Политика) определяет общие принципы и порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в Обществе с ограниченной ответственностью «Парк-Строй» (далее – Компания).
Целью Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, четкое и неукоснительное соблюдение требований федерального законодательства в области персональных данных.
1.2. Политика в отношении обработки персональных данных разработана в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», другими законодательными и нормативными правовыми актами, определяющими порядок работы с персональными данными и требования к обеспечению их безопасности.
1.3. В Политике используются следующие термины:
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;
биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность, и которые используются Компанией для установления личности субъекта персональных данных;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
доступ к персональным данным – ознакомление определенных лиц (в том числе работников) с персональными данными субъектов, обрабатываемыми Компанией, при условии сохранения конфиденциальности этих сведений;
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Компания – ООО «Парк-Строй»;
контрагенты – лица, с которыми у Компании существуют договорные отношения или с которыми Компания намерена вступить в договорные отношения;
конфиденциальность персональных данных – обязанность лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен на основании законодательства, субъектом персональных данных либо по его просьбе, в том числе данные, которые в соответствии с законодательством подлежат обязательному раскрытию или опубликованию;
оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Сайт – официальный веб-сайт Компании, совокупность графических и информационных материалов, размещённых в сети интернет и доступных по адресу, принадлежащего Компании домена http://park-stroy.ru, посредством которого осуществляется доступ к информационным системам Компании в сети Интернет (далее — Системы). Сайт содержит информацию об условиях использования систем и сервисов Компании, прочую информацию, а также служит официальным средством уведомления Посетителей об изменениях и дополнениях настоящей Политики.
Посетитель – любое физическое лицо, использующее доступ к открытым (общедоступным) разделам Сайта, и (или) заполнившее и отправившее форму обратной связи.
В случае, если при заполнении формы обратной связи Посетитель действует от имени юридического лица (индивидуального предпринимателя) он гарантирует, что имеет соответствующие полномочия представлять интересы Контрагента.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Субъект персональных данных – физическое лицо, к которому относятся персональные данные;
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Категории субъектов, чьи персональные данные обрабатываются Компанией
2.1. Компания является оператором в отношении персональных данных следующих физических лиц:
· работников Компании, с которыми у Компании заключены или были заключены трудовые договоры, включая бывших работников, с которыми трудовые договоры прекращены (расторгнуты) (далее – Работники);
близких родственников и супругов работников Компании (далее – Члены семей работников);
· соискателей вакантных должностей Компании (кандидатов для приема на работу Компанией), представивших свои резюме или анкеты, содержащие персональные данные, лично или через специализированные организации по подбору персонала (кадровые агентства), в том числе через специализированные сайты в сети Интернет (далее – Соискатели);
· участников ООО «Парк-Строй» (далее – Участники общества);
· представителей контрагентов Компании, являющихся юридическими лицами и индивидуальными предпринимателями, с которыми у Компании существуют договорные отношения или с которыми Компания намерена вступить в договорные отношения, или которые намерены вступить в договорные отношения с Компанией, в том числе работников, владельцев, включая бенефициарных владельцев, представителей, действующих на основании доверенности и иных представителей контрагентов (далее – Представители контрагентов); представителей субъектов персональных данных, не являющихся работниками Компании и обращающихся в Компанию по поручению и от имени субъектов персональных данных (далее – Представители субъектов);
· Посетителей и Пользователей, заполнивших на Сайте форму обращения (обратной связи);
· лиц, которым необходимо оформление разового пропуска для прохода в охраняемое служебное здание, где находится офис Компании, не имеющих права постоянного прохода в них (далее – Посетители Компании).
2.2. Компания также является лицом, осуществляющим обработку персональных данных по поручению других операторов, к которым относятся (не исчерпывая):
· органы власти и государственные внебюджетные фонды, в которые перечисляются средства Работников или средства для зачисления на счет Работников (инспекции Федеральной налоговой службы, территориальные отделения Пенсионного фонда Российской Федерации, Федерального фонда обязательного медицинского страхования, Фонда социального страхования Российской Федерации др.);
· военные комиссариаты, которым персональные данные предоставляются (передаются) в случаях, предусмотренных законодательством;
· операторы связи, которым сообщаются сведения о пользователях корпоративных услуг связи (фиксированная и мобильная телефония, доступ в сеть Интернет) в соответствии с требованиями законодательства.
Указанным выше операторам персональные данные предоставляются (передаются) в объеме, определенном законодательством Российской Федерации, соответствующими органами власти и государственными внебюджетными фондами в пределах их полномочий
Специального согласия субъектов на такую передачу персональных данных не требуется.
Принципы обработки персональных данных
Обработка персональных данных Компанией осуществляется в соответствии со следующими принципами:
3.1. Законность и справедливая основа обработки персональных данных. Компания принимает все необходимые меры по выполнению требований законодательства, не обрабатывает персональные данные в случаях, когда это не допускается законодательством, не использует персональные данные во вред субъектам.
3.2. Ограничение обработки персональных данных достижением конкретных, заранее определённых и законных целей. Целями обработки персональных данных Компанией являются:
· в отношении Работников - исполнение заключенных трудовых договоров, в том числе содействие в обучении и продвижение по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества; ведение воинского учёта граждан; расчет и выплата заработной платы, иных вознаграждений, расчет и перечисление налогов и страховых взносов; предоставление Работникам дополнительных услуг за счет работодателя (добровольное медицинское страхование, перечисление доходов на платежные карты Работников, обеспечение командировок и пр.); выполнение требований нормативных правовых актов органов государственного статистического учета;
· в отношении Членов семей работников - предоставление Работникам льгот и гарантий, предусмотренных законодательством для лиц, имеющих (усыновивших) детей, лиц с семейными обязанностями; выполнение требований Трудового Кодекса РФ об информировании родственников о несчастных случаях; выполнение требований нормативных правовых актов органов государственного статистического учета; страхование жизни и медицинское страхование Членов семей работников;
· в отношении Соискателей - принятие решения о возможности замещения вакантных должностей кандидатами, наиболее полно соответствующими требованиям Компании;
· в отношении Участников Общества – ведение списка Участников;
· в отношении Представителей контрагентов – выполнение норм Гражданского кодекса РФ, регулирующих договорную работу, заключение и исполнение договоров с контрагентами;
· в отношении Посетителей и Пользователей Сайта – предоставление возможности обратиться в Компанию с запросом или оставить комментарий с использованием веб-формы на Сайте;
· в отношении Представителей субъектов – выполнение действий, связанных с обращением Представителей субъектов персональных данных;
· в отношении Посетителей Компании – обеспечение возможности прохода на территорию и (или) в служебное здание, где находится офис Компании, лиц, не имеющих постоянных пропусков.
3.3. Обработка только тех персональных данных, которые отвечают заранее объявленным целям их обработки. Соответствие содержания и объёма обрабатываемых персональных данных заявленным целям обработки. Недопущение обработки персональных данных, не совместимой с целями сбора персональных данных, а также избыточных по отношению к заявленным целям их обработки. Компания не собирает и не обрабатывает персональные данные, не требующиеся для достижения целей, указанных в п.3.2 Политики, не использует персональные данные субъектов в каких-либо целях, отличных от указанных выше.
3.4. Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.
3.5. Обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных. Компания принимает все разумные меры по поддержке актуальности обрабатываемых персональных данных, включая, но не ограничиваясь, реализацией права каждого субъекта получать для ознакомления свои персональные данные и требовать от Компании их уточнения, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных выше целей обработки.
3.6. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срокхранения персональных данных не установлен законодательством, договором, стороной которого или выгодоприобретателем по которому является субъект персональных данных.
3.7. Уничтожение либо обезличивание персональных данных по достижении заявленных целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Компанией допущенных нарушений установленного законом порядка обработки персональных данных, отзыве согласия на обработку субъектом
персональных данных, если иное не предусмотрено законодательством или договорами с субъектами.
4. Условия обработки персональных данных
4.1. Обработка персональных данных Компанией допускается в следующих случаях:
4.1.1. При наличии согласия субъекта персональных данных на обработку его персональных данных. Порядок получения согласия субъекта персональных данных определен в разделе 7 Политики.
4.1.2. Обработка персональных данных необходима для осуществления и выполнения возложенных законодательством на Компанию функций, полномочий и обязанностей. К таким случаям, в том числе относится, не исчерпывая их, организация содействия в трудоустройстве населения в соответствии с законом Российской Федерации от 19.04.1991 № 1032-1 «О занятости населения в Российской Федерации», а также обработка специальных категорий персональных данных Работников для достижения целей, предусмотренных трудовым и пенсионным законодательством.
4.1.3. Для заключения договора по инициативе субъекта персональных данных и исполнения договора, стороной которого, или выгодоприобретателем по которому является субъект персональных данных. Такими договорами, без ограничения, являются, трудовые договоры с Работниками, договоры страхования, заключенные Компанией как страхователем в пользу Работников и Членов их семей.
До момента заключения указанных договоров Компания осуществляет обработку персональных данных на стадии преддоговорной работы при подборе персонала, когда согласие субъекта на обработку подтверждается собственноручно заполненной анкетой Соискателя или анкетой (резюме), переданной им Компании либо в специализированную организацию по подбору персонала, или размещенной Соискателем на специализированных веб-сайтах в сети Интернет, или направленной Соискателем в адрес Компании по электронной почте.
4.1.4. Обработка персональных данных необходима для осуществления прав и законных интересов Компании или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъектов персональных данных.
4.1.5. Обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.
4.1.6. Доступ неограниченного круга лиц к персональным данным предоставлен субъектом персональных данных либо по его просьбе. Как предоставление субъектом неограниченного доступа к своим персональным данным Компания рассматривает размещение персональных данных на сайтах в сети интернет, в СМИ, в общедоступных информационных системах, на информационных и рекламных стендах и досках объявлений, передачу субъектами своих визитных карточек представителям Компании или ее контрагентам, а данные, указанные на сайте, в СМИ, общедоступной информационной системе, на информационных и рекламных стендах и досках объявлений, на визитной карточке – как данные, доступ к которым субъектом предоставлен неограниченному кругу лиц.
4.1.7. Персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с законодательством.
4.2. Компания не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством, договором с субъектом персональных данных, не указано в полученном от него согласии на обработку персональных данных, или персональные данные не сделаны субъектом общедоступными самостоятельно.
4.3. Компания не обрабатывает персональные данные, относящиеся к специальным категориям и касающиеся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья (за исключением сведений, относящихся к вопросу о возможности выполнения работником трудовой функции), интимной жизни субъектов, о членстве Работников в общественных объединениях или их профсоюзной деятельности, за исключением случаев, прямо предусмотренных законодательством.
4.4. Обработка персональных данных о судимости может осуществляться Компанией исключительно в случаях и в порядке, установленных законодательством.
4.5. Компания не обрабатывает биометрические персональные данные. В соответствии с разъяснениями уполномоченного органа по защите прав субъектов персональных данных, Компания не рассматривает фотографические изображения субъектов, используемые ею при осуществлении своей деятельности, как биометрические персональные данные, в случаях, если не используется биометрическая система распознавания лиц.
4.6. Компания не осуществляет трансграничную передачу персональных данных, без согласия субъектов, в государства не обеспечивающие адекватную защиту прав субъектов персональных данных.
4.7. Компания не принимает решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих права и законные интересы субъектов, на основании исключительно автоматизированной обработки персональных данных. Данные, имеющие юридические последствия или затрагивающие права и законные интересы субъекта, подлежат перед их использованием проверке со стороны уполномоченных работников Компании.
5. Способы обработки персональных данных
5.1. Компания осуществляет обработку персональных данных с использованием средств автоматизации, а также без использования таких средств.
5.2. Политика распространяется в полном объеме на обработку персональных данных с использованием средств автоматизации, а при обработке без использования средств автоматизации – только в случаях, если такая обработка соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
6. Конфиденциальность персональных данных
6.1. Работниками Компании, получившими доступ к персональным данным, обеспечивается конфиденциальность таких данных.
Обеспечение конфиденциальности не требуется в отношении персональных данных после их обезличивания и общедоступных персональных данных.
6.2. Компания вправе с согласия субъекта поручить обработку персональных данных другому лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора, предусматривающего в качестве существенного условия обязанность лица, осуществляющего обработку персональных данных по поручению Компании, соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством. Объем передаваемых другому лицу для обработки персональных данных и используемые этим лицом способы обработки должны быть минимально необходимыми для выполнения им своих обязанностей перед Компанией.
В поручении Компании должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасностьперсональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
6.3. В случае, если Компания поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Компания. Лицо, осуществляющее обработку персональных данных по поручению Компании, несет ответственность перед Компанией.
7. Согласие субъекта персональных данных на обработку своих персональных данных
7.1. Субъект персональных данных принимает решение о предоставлении его персональных данных Компании и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным, и может предоставляться субъектом в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством.
7.2. В случае получения согласия на обработку персональных данных от Представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Компанией.
7.3. В случае получения Компанией персональных данных субъектов и Представителей субъектов от контрагента на основании и в целях заключения и/или исполнения заключенного с ним договора, ответственность за правомерность и достоверность персональных данных, а также за получение согласия субъектов на передачу их персональных данных Компании несет контрагент, передающий персональные данные, что закрепляется в тексте договора с контрагентом.
7.4. Компания, получившая персональные данные от контрагента, не принимает на себя обязательства по информированию субъектов (их представителей), персональные данные которых ему переданы, о начале обработки персональных данных, поскольку обязанность осуществить соответствующее информирование при заключении договора с субъектом персональных данных и/или при получении согласия на такую передачу несет передавший персональные данные контрагент. Данная обязанность контрагента включается в договор, заключаемый с ним Компанией.
7.5. Специально выраженного согласия Работника на обработку его персональных данных не требуется, так как обработка необходима для исполнения трудового договора, стороной которого является Работник - субъект персональных данных, за исключением случаев, когда необходимо получение согласия Работника в письменной форме для конкретных случаев обработки персональных данных.
7.6. Специально выраженного согласия Членов семей работников Компании не требуется, если обработка их персональных данных осуществляется на основании законодательства (для начисления алиментов, оформления социальных выплат, предоставления льгот и гарантий и пр.), выполняется Компанией как работодателем в соответствии с требованиями Трудового кодекса РФ и органов государственного статистического учета, а также в случаях, когда Члены семей работников являются выгодоприобретателями, в том числе застрахованными лицами, по договорам, заключенным Компанией. Во всех остальных случаях необходимо получение доказываемого (подтверждаемого) согласия Членов семей работников на обработку их персональных данных Компанией.
7.7. Специально выраженного согласия Соискателя на обработку его персональных данных не требуется, поскольку такая обработка необходима в целях заключения трудового договора по инициативе Соискателя - субъекта персональных данных, за исключением случаев, когда необходимо получение согласия Соискателя в письменной форме для конкретных случаев обработки персональных данных. Персональные данные Соискателя, содержащиеся в его анкете, резюме, электронных письмах, направленных Компании Соискателем илиспециализированными организациями по подбору персонала, и других документах, уничтожаются в течение 30 дней с даты принятия решения о приеме Соискателя на работу или об отказе в приеме на работу.
7.8. Согласия Участника Общества на обработку его персональных данных не требуется, так как она осуществляется в целях реализации функций, полномочий и обязанностей, возложенных на Компанию Федеральным законом «Об обществах с ограниченной ответственностью».
7.9. Персональные данные лиц, подписавших договор с Компанией, содержащиеся в единых государственных реестрах юридических лиц и индивидуальных предпринимателей, являются открытыми и общедоступными, за исключением сведений о номере, дате выдачи и органе, выдавшем документ, удостоверяющий личность физического лица. Охраны их конфиденциальности и согласия субъектов на обработку не требуется. Во всех остальных случаях необходимо получение согласия субъектов персональных данных, являющихся Представителями контрагентов, за исключением лиц, подписавших договоры с Компанией, а также предоставивших доверенности на право действовать от имени и по поручению субъектов персональных данных или контрагентов Компании и тем самым совершивших конклюдентные действия, подтверждающие их согласие с обработкой персональных данных, указанных в тексте договора и/или доверенности. Согласие у своего работника на передачу Компании его персональных данных и обработку этих персональных данных может получить контрагент, порядком, описанным в п.7.3 Положения. В этом случае получение Компанией согласия субъекта на обработку его персональных данных не требуется.
7.10. Согласие Представителей субъектов на обработку их персональных данных предоставляется в форме конклюдентных действий путем предоставления доверенности с правом действовать от имени и по поручению субъектов персональных данных и документа, удостоверяющего личность Представителя субъекта.
7.11. Согласие Посетителей Сайта на обработку их персональных данных дается путем простановки соответствующей отметки («галочки») в чек-боксе формы обращения на Сайте. Таким конклюдентным действием Посетитель (Пользователь) выражает свое безусловное согласие с положениями Приложения 1 к настоящей Политике (Согласие на обработку персональных данных посетителя (пользователя) сайта).
7.12. Согласие Посетителя Компании на обработку его персональных данных дается в форме конклюдентных действий, а именно – предоставления документа, удостоверяющего личность, и сообщения сведений, запрашиваемых у него при посещении Компании.
7.13. Согласие субъектов на предоставление их персональных данных не требуется при получении Компанией в рамках установленных полномочий мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию в соответствии с компетенцией, предусмотренной законодательством.
Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.
7.14. В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, Компания обязана получить согласие субъекта на предоставление его персональных данных и предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.
7.15. Согласие на обработку персональных данных, обработка которых не установлена требованиями законодательства или не требуется для исполнения договора с Компанией, стороной которого или выгодоприобретателем по которому является субъект персональныхданных, может быть отозвано субъектом персональных данных. В этом случае Компания уничтожает такие персональные данные, в отношении которых отзывается согласие на обработку, и обеспечивает их уничтожение контрагентами, которым были переданы такие данные, в течение 30 дней с момента получения отзыва согласия субъекта на обработку его персональных данных.
7.16. Во всех случаях обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Федеральном законе «О персональных данных», возлагается на Компанию.
Права субъектов персональных данных
8.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных. Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные федеральным законодательством меры по защите своих прав. Порядок реагирования на обращения (запросы) субъектов персональных данных регламентируется Приложением 2.
8.2. Если субъект персональных данных считает, что Компания осуществляет обработку его персональных данных с нарушением требований федерального законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Компании в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
8.3. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
9. Сведения о реализуемых требованиях к защите персональных данных
9.1. Безопасность персональных данных достигается в Компании путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иные несанкционированные действия.
9.2. Безопасность персональных данных, обрабатываемых Компанией, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований законодательства в области защиты персональных данных.
9.3. Правовые меры включают:
· разработку локальных актов Компании, реализующих требования законодательства и положения методических документов в отношении обеспечения безопасности персональных данных, в том числе Политики;
· отказ от любых способов обработки персональных данных, не соответствующих определенным в Политике целям.
9.4. Организационные меры включают:
· назначение лица, ответственного за организацию обработки персональных данных;
· назначение лица, ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных;
· ограничение состава работников Компании, имеющих доступ к персональным данным, и организацию разрешительной системы доступа к ним; ознакомление работников Компании, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, с Политикой, другими локальными актами Компании по вопросам обработки персональных данных;
9.5. Технические меры включают в себя:
· оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;
· реализацию разрешительной системы доступа работников к персональным данным, обрабатываемым в информационных системах, к программно-аппаратным и программным средствам защиты информации;
· регистрацию и учёт действий c персональными данными пользователей информационных систем, в которых обрабатываются персональные данные;
· выявление вредоносного программного обеспечения (применение антивирусных программ) на всех узлах информационной сети Компании, обеспечивающих соответствующую техническую возможность;
· безопасное межсетевое взаимодействие (применение межсетевого экранирования);
· восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (систему резервного копирования и восстановления персональных данных);
10. Заключительные положения
10.1. Иные обязанности и права Компании как оператора персональных данных и лица, организующего их обработку по поручению других операторов, определяются законодательством Российской Федерации в области персональных данных.
10.2. Должностные лица и работники Компании, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
10.3. Положения Политики пересматриваются по мере необходимости. Обязательный пересмотр Политики проводится в случае существенных изменений международного или федерального законодательства в сфере персональных данных.
При внесении изменений в положения Политики учитываются:
· изменения в информационной инфраструктуре и (или) в используемых Компанией информационных технологиях;
· сложившаяся в Российской Федерации практика правоприменения законодательства в области персональных данных;
· изменение условий и особенностей обработки персональных данных Компанией в связи с внедрением в его деятельность новых информационных систем, процессов и технологий.