3.      Правовые основания обработки персональных данных
3.1.            В рамках Политики Оператор осуществляет обработку персональных данных во исполнение и в соответствии со следующими нормативными правовыми актами:
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;
- Закон РФ от 07.02.1992 № 2300-1 «О защите прав потребителей»;
- Федеральный закон от 08.08.2001 № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей»;
- Федеральный закон от 13.07.2015 № 218-ФЗ «О государственной регистрации недвижимости»;
- Федеральный закон от 30.12.2004 № 214-ФЗ «Об участии в долевом строительстве многоквартирных домов и иных объектов недвижимости и о внесении изменений в некоторые законодательные акты Российской Федерации»;
- принятые в соответствии с перечисленными федеральными законами и(или) на их основе нормативные правовые акты;
- Устав Оператора;
- договоры, заключенные между Оператором и субъектом персональных данных;
- иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти, регулирующие отношения, связанные с деятельностью Оператора.
4.      Порядок и условия, способы и сроки обработки персональных данных.
4.1.            Оператор обрабатывает персональные данные на законной и справедливой основе для выполнения возложенных законодательством функций, полномочий и обязанностей, осуществления прав и законных интересов Оператора и третьих лиц.
4.2.            Оператор осуществляет следующие действия по обработке персональных данных: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.
4.3.            Сбор и последующая обработка персональных данных Оператором допускаются только после получения согласия на обработку от субъекта персональных данных, а также без получения такого согласия в следующих случаях:
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на Оператора функций, полномочий и обязанностей;
- обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
- обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, при условии обязательного обезличивания персональных данных;
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
- в иных случаях, установленных законодательством, регулирующим обработку персональных данных.
4.4.            Специальные категории персональных данных и биометрические персональные данные могут обрабатываться Оператором только с согласия субъектов персональных данных. Персональные данные, разрешенные субъектом персональных данных для распространения, обрабатываются на основании согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
4.5.            Оператор имеет право передавать персональные данные субъекта персональных данных или поручать обработку персональных данных третьим лицам при наличии согласия субъекта персональных данных. Оператор обязуется обеспечить соблюдение таким третьим лицом уровня конфиденциальности и защиты персональных данных аналогичного тому, который обеспечивает Оператор в соответствии с Политикой.
4.6.            Обработка персональных данных Оператором может осуществляться как с использованием средств автоматизации, так и без использования средств автоматизации.
4.7.            Оператор осуществляет сбор персональных данных с использованием форм, размещенных на страницах Сайта. При таком сборе субъекту персональных данных предоставлена возможность ознакомления с настоящей Политикой и возможность дачи согласия на обработку персональных данных. Оператор вправе запросить у субъекта персональных данных, предоставившего свои персональные данные путем заполнения упомянутых форм, подтверждения факта отнесения предоставленных персональных данных к данному субъекту персональных данных. В случае неполучения такого подтверждения организация уничтожает полученные персональные данные, если иное не предусмотрено законодательством.
4.8.            При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных субъектов персональных данных с использованием баз данных, находящихся на территории Российской Федерации.
4.9.            Все персональные данные Оператор получает непосредственно от субъекта персональных данных, за исключением случаев, если их получение возможно только у третьих лиц.
4.9.1. Получение персональных данных у третьих лиц, возможно только при уведомлении субъекта персональных данных об этом заранее и с его письменного согласия.
4.10.        Все сотрудники ознакомляются под расписку, а иные субъекты – путем ознакомления с опубликованными на Сайте документами Оператора, устанавливающими порядок обработки и защиты персональных данных, правах и обязанностях субъектов персональных данных в этой области.
4.11.        Срок обработки Оператором персональных данных не может превышать срок, обусловленный целями обработки персональных данных, указанными в разделе 2 Политики, а именно:
4.11.1. Датой прекращения обработки персональных данных работников Оператора, родственников работника Оператора (п. 2.2.1 Политики), считается дата прекращения трудового договора, если иное не установлено законом, в том числе по уволенным работникам.
4.11.2. Датой прекращения обработки персональных данных соискателя (кандидата) на вакантные должности (п. 2.2.2 Политики), считается дата принятия решения о незаключении трудового договора с таким лицом.
4.11.3. Датой прекращения обработки персональных данных соискателя (кандидата) на вакантные должности (п. 2.2.3 Политики), считается дата принятия Оператором решения о расформировании кадрового резерва полностью или в части либо дата заключения трудового договора с соискателем.
4.11.4. Датой прекращения обработки персональных данных работников, управляющего Оператора с целью приобретения услуг связи (п. 2.2.4 Политики), считается дата расторжения договора между Оператором и оператором связи или исключение работника, управляющего из списка пользователей абонентским номером.
4.11.5. Датой прекращения обработки персональных данных работников, управляющего Оператора в целях направления на обучение, оплаты обучения (п. 2.2.5 Политики) считается дата прекращения трудовых отношений с работником / прекращения отношений с управляющим или расторжение по любым причинам договора на обучение, в т.ч. из-за отчисления работника, управляющего Оператора.
4.11.6. Датой прекращения обработки персональных данных работников, управляющего Оператора с целью добровольного медицинского страхования (п. 2.2.6 Политики), считается дата расторжения договора между Оператором и страховщиком или исключение работника, управляющего Оператора из перечня застрахованных лиц.
4.11.7. Датой прекращения обработки персональных данных работников Оператора в целях привлечения третьих лиц (адвокатов) для оказания юридической помощи работникам Оператора (п. 2.2.7 Политики), считается дата прекращения отношений по оказанию юридической помощи работникам Оператора.
4.11.8. Датой прекращения обработки персональных данных контрагентов – физических лиц, представителей контрагентов, работников контрагентов, родственников клиентов-физических лиц (п. 2.2.8 Политики), считается дата прекращения договорных отношений, если иное не установлено законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
4.11.9. Датой прекращения обработки персональных данных с целю создания материалов для публикации в социальных сетях и на Сайте для введения социальных сетей и Сайта Оператора (п. 2.2.9 Политики), считается дата удаления соответствующих публикаций.
4.11.10. Датой прекращения обработки персональных данных посетителей (пользователей) Сайта или социальных сетей Оператора, самостоятельно направивших заявку на обратный звонок или отправку сообщения на электронную почту, (п. 2.2.10 Политики), считается дата завершения контакта Оператора с посетителем (пользователем) после полного разрешения вопроса, в связи с которым посетитель (пользователь) Сайта направил заявку.
4.11.11. Датой прекращения обработки персональных данных посетителей Сайта (Пользователей) и иных субъектов персональных данных, выразивших согласие на получение соответствующих рассылок (п. 2.2.11 Политики), является дата принятия Оператором решения об исключении Пользователя или иного субъекта персональных данных из адресатов соответствующего продвижения и/или рассылок.
4.11.12. Датой прекращения обработки персональных данных клиентов (покупателей) Оператора, участвующих в программе лояльности и предоставляющих документы по условиям программы лояльности, близких родственников (родители, дети, братья, сестры, супруг) таких клиентов (п. 2.2.12 Политики), является дата отзыва клиентом волеизъявления на участие в программе лояльности или дата установления несоответствия документов клиента условиям программы лояльности.
4.11.13. Датой прекращения обработки обезличенных данных в статистических или иных исследовательских целях (маркетинговых исследованиях) (п. 2.2.13 Политики), считается дата принятия Оператором решения о прекращении проведения исследований, в том числе статистических.
4.11.14. Датой прекращения обработки персональных данных в целях оформление пропусков работникам Оператора, контрагентам-физическим лицам, работникам контрагентов, иным посетителям охраняемых объектов (п. 2.2.14 Политики), считается дата исключения субъекта персональных данных из перечня лиц, допускаемых на охраняемый объект.
4.11.15. Датой прекращения обработки персональных данных учредителей / участников / бенефициаров Оператора (п. 2.2.15 Политики), считается дата прекращения соответствующего статуса у субъекта персональных данных, если иное не установлено законом или Уставом Оператора.
4.11.16. Датой прекращения обработки персональных данных в целях на запросы кредитных организаций по вопросам, связанным с заключением и исполнением договоров с кредитными организациями (п. 2.2.16 Политики), считается дата прекращения договора с кредитной организацией/дата отказа от заключения договора с кредитной организацией или дата прекращения статуса учредителя / участника / бенефициара / руководителя Оператора, если иное не установлено законом.
4.11.17. Датой прекращения обработки персональных данных, обработка которых осуществляется в целях выполнения требований законодательных актов, нормативных документов (п. 2.2.17 Политики), считается дата прекращения обязанности по обработке персональных данных, установленной законодательными актами, нормативными документами (например, истечение срока на обязательное хранение документов и сведений).
4.12.        В любом случае для всех целей обработки персональных данных датой прекращения обработки персональных данных является также истечение срока действия согласия на обработку персональных данных или отзыв субъектом персональных данных соответствующего согласия, за исключением случаев, когда на обработку персональных данных не требуется согласие субъекта персональных данных, а также дата прекращения обработки персональных данных в связи с выявлением неправомерности такой обработки.
5.      Конфиденциальность и меры по защите персональных данных.
5.1.            Информация, относящаяся к персональным данным, ставшая известной Оператору, является конфиденциальной информацией и охраняется законом.
5.2.            Оператор применяет комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных для обеспечения конфиденциальности персональных данных и их защиты от неправомерных действий.
5.3.            Правовые меры по обеспечению безопасности персональных данных, применяемые Оператором, включают в себя, в частности:
5.3.1. Работники Оператора и иные лица, получившие доступ к обрабатываемым персональным данным, подписали обязательство о неразглашении конфиденциальной информации, а также предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства Российской Федерации в области обработки персональных данных.
5.3.2. Оператор обеспечивает неограниченный доступ к Политике, копия которой размещена на Сайте.
5.3.3. Определение типа угрозы безопасности и уровня защищенности персональных данных, которые хранятся в ИСПДн Оператора.
5.3.4. Оценка степени вреда, который может быть причинен субъектам персональных данных.
5.4.            Организационные меры по обеспечению безопасности персональных данных, применяемые Оператором, включают в себя, в частности:
5.4.1. Периодическое ознакомление работников, осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных) и локальными актами по вопросам обработки персональных данных, настоящей Политикой.
5.4.2. Назначение лица, ответственного за организацию обработки персональных данных и обеспечение безопасности персональных данных.
5.4.3. Назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.
5.4.4. Допуск работников к персональным данным, обрабатываемым в информационной системе Оператора, а также к их материальным носителям только для выполнения трудовых обязанностей.
5.4.5. Ограничение и разграничение доступа работников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными.
5.4.6. Внутренний контроль соответствия обработки персональных данных Закону «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, требованиям к защите персональных данных, настоящей Политике.
5.4.7. Обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях персональных данных и хранения в специально оборудованных помещениях.
5.4.8. Ограничение допуска в помещения, где хранятся документы, содержащие персональные данные субъектов персональных данных.
5.4.9. Хранение бумажных носителей персональных данных в сейфах.
5.4.10. Обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных.
5.4.11. Хранение персональных данных в электронном виде в ИСПДн Оператора, а также в архивных копиях баз данных этих систем, с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним.
5.4.12. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных.
5.4.13. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
5.5.            Технические меры по обеспечению безопасности персональных данных, применяемые Оператором, включают в себя, в частности:
5.5.1. Ограничение доступа в ИСПДн с использованием средств доступа по логину и паролю.
5.5.2. Протоколирование действий с ИСПДн.
5.5.3. Использование межсетевого экрана.
5.5.4. Ограничение доступа, исключение неконтролируемого проникновения в помещения, в которых размещена ИСПДн Оператора, лиц, не имеющих допуска к персональным данным.
5.5.5. Использование независимых источников энергии для питания оборудования, на котором хранятся ПДн.
5.6.   Разграничение прав доступа в ИСПДн между отделами Оператора.
5.7.            Оператор вправе применять иные организационные и технические меры и использовать средства защиты информации, необходимые для достижения установленного уровня защищенности персональных данных.
5.8.            Оператор определяет 3-й тип актуальной угрозы безопасности ИСПДн, а также необходимость обеспечения 3-го уровня защищенности персональных данных. Степень вреда, который может быть причинен субъекту персональных данных, является высокой.
5.9.            Защита персональных данных от неправомерного их использования или утраты обеспечивается за счет средств Оператора в порядке, установленном федеральным законом.
5.10.        При выявлении Оператором факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:
5.10.1. В течение 24 часов – уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента.
5.10.2. В течение 72 часов – уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
6.      Актуализация, исправление, удаление и уничтожение персональных данных.
6.1.            В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
6.2.            В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
6.3.            В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных, его представителя либо Роскомнадзора, Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
6.4.            В случае выявления неправомерной обработки персональных данных, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных. Если обеспечить правомерность обработки персональных данных невозможно, то Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные
6.5.            При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Оператор прекращает обработку персональных данных, а персональные данные подлежат уничтожению в течение тридцати дней, если:
- иное не предусмотрено договором, стороной которого выгодоприобретателем или поручителем по которому является субъект персональных данных;
- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом «О персональных данных» или иными федеральными законами;
- иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
6.6.            Запрос субъекта персональных данных на получение информации, касающейся обработки его персональных данных, (п. 1.5.1 Политики) должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа, выдавшем органе, сведения, подтверждающие отношения субъекта персональных с Оператором, подпись субъекта персональных данных. Запрос может быть направлен представителем субъекта персональных данных, а также в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
6.6.1. После получения запроса субъекта персональных данных Оператор обязуется рассмотреть такой запрос и направить ответ в течение 10 рабочих дней с момента получения запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации
6.7.            Если сведения были предоставлены субъекту персональных данных для ознакомления, повторный запрос возможен не ранее чем через тридцать дней после направления первоначального запроса. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего данному условию. Такой отказ должен быть мотивированным.
6.8.            Запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия направляются по почтовому адресу Оператора: 628011, Ханты-Мансийский Автономный Округ – Югра, г. Ханты-Мансийск, ул. Комсомольская, д. 56, помещение 1006, а также по адресу электронной почты Оператора: info@avtor.dev (для электронных обращений). Срок ответа на такие запросы/обращения – 30 календарных дней, если более короткий срок не установлен Законом «О персональных данных». Ответ направляется на тот почтовый или электронный адрес, который указан субъектом персональных данных при направлении запроса/обращения.
6.9.            Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующий условий:
6.9.1. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей.
6.9.2. При отзыве согласия субъекта персональных данных на обработку его персональных данных, при отзыве согласия на обработку персональных данных, разрешенных для распространения (для случаев, когда не допускается обработка персональных данных без согласия субъекта).
6.9.3. При истечении срока действия согласия субъекта персональных данных на обработку его персональных данных (для случаев, когда не допускается обработка персональных данных без согласия субъекта).
6.10.        При обращении субъекта персональных данных с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом «О персональных данных».
7.      Заключительные положения.
7.1.            Настоящая Политика, а также все изменения к ней утверждаются единоличным исполнительным органом ООО «СЗ Автор» и вступают в силу со дня ее опубликования на сайте Оператора в сети Интернет: https://avtor.dev/ , если иной момент вступления в силу не указан в приказе об утверждении Политики.
Субъект персональных данных может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись по почтовому адресу: 628011, Ханты-Мансийский Автономный Округ – Югра, г. Ханты-Мансийск, ул. Комсомольская, д. 56, помещение 1006, а также по адресу электронной почты: info@avtor.dev.