Политика конфиденциальности

1. Общие положения

1.1. Общество с ограниченной ответственностью «АПРИОРИ» (далее – Общество) является зарегистрированным Оператором, осуществляющим обработку персональных данных, – регистрационная запись в Реестре операторов № 77-21-020066, Приказ № 154 от 26.07.2021 г.
1.2. Настоящая Политика в отношении обработки персональных данных (далее — Политика) разработана в соответствии с требованиями п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных), а также иными нормативно-правовыми актами в области защиты и обработки персональных данных в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Политика действует в отношении всех персональных данных, которые обрабатывает Общество.
1.4. Политика распространяется на отношения в области обработки персональных данных, возникшие у Общества как до, так и после утверждения настоящей Политики.
1.5. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика опубликована в свободном доступе на сайте Общества (https://apriori-accounting.ru).
1.6. Настоящая Политика и все изменения к ней утверждаются Приказом генерального директора Общества. Сведения о каждой редакции настоящей Политики вносятся уполномоченным лицом в Лист регистрации изменений (Приложение №1).
1.7. Общество имеет право вносить изменения в настоящую Политику в одностороннем порядке. Новая редакция Политики вступает в силу с момента ее утверждения генеральным директором Общества. Настоящая Политика распространяет своё действие на третьих лиц с момента ее размещения на сайте.

2. Термины и определения

·       Персональные данные (ПДн) — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
·       Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных;
·       Оператор персональных данных (оператор) в общих целях – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
·       Оператор персональных данных (оператор) в целях настоящей Политики — юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
·       Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
o   Сбор;
o   Запись;
o   Систематизацию;
o   Накопление;
o   Хранение;
o   Уточнение (обновление, изменение);
o   Извлечение;
o   Использование;
o   Передачу (распространение, предоставление, доступ);
o   Обезличивание;
o   Блокирование;
o   Удаление;
o   Уничтожение.
·       Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники с минимальным участием человека, либо полностью без его участия;
·       Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
·       Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
·       Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
·       Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
·       Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
·       Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

3. Правовые основания обработки персональных данных

3.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных, в том числе:
·       Конституция Российской Федерации;
·       Гражданский кодекс Российской Федерации;
·       Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»;
·       Трудовой кодекс Российской Федерации;
·       Налоговый кодекс Российской Федерации;
·       Федеральный закон от 08.02.1998 N 14-ФЗ «Об обществах с ограниченной ответственностью»;
·       Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете»;
·       Федеральный закон от 15.12.2001 N 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
·       Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
·       Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687);
·       Постановление от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
·       Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
·       Приказ Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
·       Приказ Роскомнадзора от 27.10.2022 N 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» (Зарегистрировано в Минюсте России 28.11.2022 N 71166);
·       Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утв. Приказом Росархива от 20.12.2019 N 236;
·       Иные нормативные правовые акты и нормативные документы уполномоченных органов государственной власти, регулирующие отношения по обработке персональных данных в рамках деятельности Общества.
3.2. Правовым основанием обработки персональных данных также являются:
·       Устав Общества;
·       Положение об обработке персональных данных Общества;
·       Иные локальные нормативные акты Общества, регулирующие порядок работы с персональными данными;
·       Согласия на обработку персональных данных субъектов персональных данных;
·       Договор, стороной которого, либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

4. Цели обработки, субъекты и категории обрабатываемых персональных данных

4.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. В Обществе не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
4.2. Обработке подлежат только персональные данные определенных категорий субъектов, которые отвечают установленным целям обработки:
4.2.1. Организация, обеспечение и регулирование трудовых и непосредственно связанных с ними отношений:
4.2.1.1. Оператор осуществляет обработку следующих категорий персональных данных:

• Общие: фамилия, имя, отчество, адрес регистрации, адрес проживания (фактический адрес), контактная информация (номер телефона, адрес электронной почты), дата рождения/возраст, данные основного документа, удостоверяющего личность (документов, которые в соответствии с применимым законодательством РФ подпадают под категорию документов, удостоверяющих личность), данные миграционной карты (при наличии), данные документа, дающего право на пребывание на территории Российской Федерации (в случае, если наличие такого документа обязательно в силу требований законодательства РФ), данные документа, дающего право на осуществление субъектом трудовой деятельности на территории РФ (в случае, если наличие такого документа обязательно в силу требований законодательства РФ), данные о налоговых вычетах, место рождения, данные свидетельства/акта о смерти, идентификационный номер налогоплательщика (ИНН), сведения об образовании/квалификации (в том числе ученая степень/звание, образовательное учреждение, год обучения, специальность), подпись, пол, сведения о налоговом статусе, банковские реквизиты, страховой номер индивидуального лицевого счета (СНИЛС), сведения о семейном положении, сведения о детях (в том числе сведения свидетельства о рождении ребенка), сведения свидетельства о браке, сведения об исполнительных листах/судебных приказах, включая сведения о выплате алиментов, сведения о социальных и иных льготах, сведения о статусе военнообязанного, сведения, содержащиеся в документах воинского учета, сведения о работе, в том числе сведения о трудовом стаже и трудовой деятельности (включая сведения о местах работы (наименование организации, должность, период/стаж работы), должность, структурное подразделение, функциональный блок, сведения о профессии, расположении рабочего места, табельный номер, данные о кадровых мероприятиях (включая дату приема на работу/увольнения, переводов на другую работу), информация из системы учета посещений, полученная при выполнении трудовых обязанностей, данные о категориях для премирования, коэффициенты и суммы премирования, сведения о заработной плате, информация об отсутствии на рабочем месте, прочие персональные данные, необходимые для достижения настоящей цели обработки персональных данных, сбор (получение) которых осуществляется при наличии и с учетом условий (правовых оснований) обработки персональных данных.
• Специальные: сведения о гражданстве/резидентстве, сведения о состоянии здоровья.
• Биометрические: фото работника, отпечаток пальца работника.

4.2.1.2. Категории субъектов, персональные данные которых обрабатываются:

• Работники ООО «АПРИОРИ», их законные представители, бывшие работники ООО «АПРИОРИ», их законные представители.

4.2.2. Обеспечение эффективности деловых коммуникаций:
4.2.2.1. Оператор осуществляет обработку следующих категорий персональных данных:

• Общие: фамилия, имя, отчество, сведения о работе, в том числе должность, структурное подразделение, табельный номер, контактная информация (номер телефона, адрес электронной почты), информация об отсутствии на рабочем месте расположение рабочего места, прочие персональные данные, необходимые для достижения настоящей цели обработки персональных данных, сбор (получение) которых осуществляется при наличии и с учетом условий (правовых оснований) обработки персональных данных.
• Специальные: не обрабатываются.
• Биометрические: не обрабатываются.

4.2.2.2. Категории субъектов, персональные данные которых обрабатываются:

• Работники ООО «АПРИОРИ», контрагенты ООО «АПРИОРИ», их законные представители.

4.2.3. Привлечение и отбор кандидатов для трудоустройства в ООО «АПРИОРИ»:
4.2.3.1. Оператор осуществляет обработку следующих категорий персональных данных:

• Общие: фамилия, имя, отчество, контактная информация (номер телефона, адрес электронной почты), дата рождения/возраст, адрес проживания (фактический адрес), сведения о работе, в том числе сведения о трудовом стаже и трудовой деятельности (включая сведения о местах работы (наименование организации, должность, период/стаж работы), сведения об образовании/квалификации (в том числе ученая степень/звание, образовательное учреждение, год обучения, специальность), пол, результаты профессионального тестирования и тестирования иных деловых качеств, результаты интервью.
• Специальные: сведения о гражданстве, сведения о состоянии здоровья.
• Биометрические: фото кандидата, аудиозапись и/или видеозапись интервью.
• Иные персональные данные, самостоятельно, т.е. без запроса Общества, указанные субъектом персональных данных в его резюме.

4.2.3.2. Категории субъектов, персональные данные которых обрабатываются:

• Кандидаты (физические лица, являющиеся соискателями на вакантные должности в ООО «АПРИОРИ»), их законные представители.

4.2.4. Организация доступа на территорию и в помещения ООО «АПРИОРИ»:
4.2.4.1. Оператор осуществляет обработку следующих категорий персональных данных:

• Общие: фамилия, имя, отчество, данные основного документа, удостоверяющего личность (документов, которые в соответствии с применимым законодательством РФ подпадают под категорию документов, удостоверяющих личность).
• Специальные: не обрабатываются.
• Биометрические: отпечаток пальца работника.

4.2.4.2. Категории субъектов, персональные данные которых обрабатываются:

• Работники ООО «АПРИОРИ», их законные представители, кандидаты (физические лица, являющиеся соискателями на вакантные должности в ООО «АПРИОРИ»), их законные представители, бывшие работники ООО «АПРИОРИ», их законные представители, контрагенты ООО «АПРИОРИ», их законные представители, иные субъекты, которым необходим доступ на территорию ООО «АПРИОРИ» (включая представителей государственных органов, государственных учреждений, государственных внебюджетных фондов, муниципальных органов и пр.).

4.2.5. Обеспечение и осуществление взаимодействия с контрагентами ООО «АПРИОРИ», их законными представителями, по вопросам заключения договоров и в рамках исполнения обязательств по договорам:
4.2.5.1. Оператор осуществляет обработку следующих категорий персональных данных:

• Общие: фамилия, имя, отчество, данные основного документа, удостоверяющего личность (документов, которые в соответствии с применимым законодательством РФ подпадают под категорию документов, удостоверяющих личность), контактная информация (номер телефона, адрес электронной почты), подпись.
• Специальные: не обрабатываются.
• Биометрические: не обрабатываются.

4.2.5.2. Категории субъектов, персональные данные которых обрабатываются:

• Контрагенты ООО «АПРИОРИ», их законные представители.

4.2.6. Информирование посетителей веб-сайта ООО «АПРИОРИ» об услугах, порядке их предоставления, их стоимости, а также ведение статистики с целью улучшения качества оказываемых услуг:
4.2.6.1. Оператор осуществляет обработку следующих категорий персональных данных:

• Общие: фамилия, имя, отчество, контактная информация (номер телефона, адрес электронной почты), файлы cookies.
• Специальные: не обрабатываются.
• Биометрические: не обрабатываются.
• Иные персональные данные, самостоятельно, т.е. без запроса Общества, указанные субъектом персональных данных в форме обратной связи.

4.2.6.2. Категории субъектов, персональные данные которых обрабатываются:
·      Посетители веб-сайта ООО «АПРИОРИ», посетители веб-сайта ООО «АПРИОРИ», заполнившие форму обратной связи.

4.2.7. Продвижение товаров, работ и услуг ООО «АПРИОРИ» на рынке:
4.2.7.1. Оператор осуществляет обработку следующих категорий персональных данных:

• Общие: фамилия, имя, отчество, контактная информация (номер телефона, адрес электронной почты), дата рождения, адрес проживания (фактический адрес).
• Специальные: не обрабатываются.
• Биометрические: фото работника, фото бывшего работника.

4.2.7.2. Категории субъектов, персональные данные которых обрабатываются:
·      Контрагенты ООО «АПРИОРИ», работники ООО «АПРИОРИ», бывшие работники ООО «АПРИОРИ».
4.3. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.4. Обработка персональных данных, относящихся к специальным и биометрическим, осуществляется с учетом особых требований в соответствии с законодательством Российской Федерации.
4.5. Общество не осуществляет трансграничную передачу данных.

5. Порядок, способы и условия обработки

персональных данных

5.1. Общие условия.
5.1.1. Общество осуществляет обработку персональных данных в соответствии с требованиями законодательства Российской Федерации.
5.1.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
5.1.3. К обработке персональных данных допускаются работники Общества в соответствии с действующим Регламентом о допуске работников к обработке персональных данных.
5.1.4. Обработка персональных данных для каждой цели их обработки осуществляется следующими способами:
·       Неавтоматизированная\ автоматизированная\ смешанная обработка персональных данных;
·       Обработка с\без передачи по внутренней сети, а также с\без передачи по сети Интернет.
5.1.5. Обработка персональных данных для каждой цели обработки, указанной в п. 4.2 Политики, осуществляется путем:
·       Получения персональных данных в устной и письменной форме непосредственно от субъекта персональных данных;
·       Внесения персональных данных в журналы, реестры и информационные системы Общества;
·       Использования иных способов обработки персональных данных в случаях и порядке, предусмотренном и/или не запрещённом законодательством Российской Федерации.
5.1.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
5.1.7. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
5.2. Меры защиты персональных данных.
5.2.1. Общество принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
·       Назначено лицо, ответственное за организацию обработки персональных данных;
·       Разработаны и изданы локальные нормативные акты и положения, определяющие политику оператора в отношении обработки персональных данных (в том числе процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений);
·       Осуществляется внутренний контроль соответствия обработки персональных данных требованиям законов и нормативных правовых актов, требованиям к защите персональных данных, положениям Общества в отношении обработки персональных данных, локальным актам Общества;
·       Проведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона (в рамках моделирования угроз безопасности персональных данных);
·       Организован процесс ознакомления и обучения непосредственно осуществляющих обработку персональных данных сотрудников Общества, правилам работы с персональными данными до предоставления доступа в информационные системы персональных данных (Далее – ИСПДн) Общества;
·       Определены угрозы безопасности персональных данных при их обработке в ИСПДн;
·       Введены и реализованы организационные и технические меры по обеспечению безопасности персональных данных согласно приказу ФСТЭК от 18.02.2013 г. №21;
·       Применяются средства защиты информации;
·       Производится регулярная оценка эффективности применяемых мер по обеспечению безопасности персональных данных;
·       Производится учёт машинных носителей;
·       Осуществляется автоматический мониторинг инфраструктуры Общества с целью обнаружения фактов несанкционированного доступа к персональным данным и принятия превентивных мер по его предотвращению;
·       Разработаны организационные и технические меры по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
·       Организован процесс предоставления доступа к персональным данным на основе матрицы доступа в информационные системы персональных данных;
·       Реализовано обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
·       Осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных;
·       Выполняется постоянный контроль уровня защищенности информационных систем персональных данных.
5.3. Хранение персональных данных.
5.3.1. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на материальных носителях, так и в электронном виде.
5.3.2. Персональные данные, полученные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа в течение установленных сроков хранения (Федеральный закон от 22.10.2004 N 125-ФЗ «Об архивном деле в Российской Федерации», Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236).
5.3.3. Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в целях, определённых локальными нормативными актами и положениями Общества, хранятся в электронных папках на серверах Общества.
5.3.4. Срок хранения персональных данных, обрабатываемых в ИСПДн, соответствует сроку хранения персональных данных на бумажных носителях.
5.3.5. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) в ИСПДн.
5.3.6. Общество осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если иное не установлено законодательством Российской Федерации и/или договором, положениями, локальными нормативными актами Общества.
5.4. Прекращение обработки персональных данных.
5.4.1. Прекращение обработки персональных данных осуществляется в Обществе в следующих случаях:
·       Выявлен факт их неправомерной обработки. В этом случае срок прекращения обработки персональных данных — в течении трёх рабочих дней с даты выявления такого факта;
·       Достигнута цель их обработки;
·       Субъектом на основании его письменного заявления отозвано согласие на обработку его персональных данных;
·       Истечение срока на обработку персональных данных субъекта, предусмотренного договором, положениями, локальными нормативными актами Общества, а также действующим законодательством Российской Федерации.
·       Ликвидация Общества.
5.4.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку, Общество прекращает обработку этих данных, если иное не предусмотрено действующим законодательством Российской Федерации.
5.4.3. Субъект персональных данных имеет право обратиться в Общество с требованием о прекращении обработки его персональных данных, направив Обществу соответствующий запрос. В этом случае обработка персональных данных прекращается в срок, не превышающий 10 рабочих дней с даты получения требования, за исключением случаев, предусмотренных законодательством Российской Федерации.
5.5. Обращение субъекта персональных данных.
5.5.1 Субъект персональных данных имеет право обратиться к Обществу с запросом на получение информации, касающейся обработки его персональных данных (ч. 7 ст. 14 Закона о персональных данных). Общество предоставляет данные сведения субъекту персональных данных или его законному представителю в срок, не превышающий 10 рабочих дней со дня обращения либо получения запроса субъекта персональных данных или его законного представителя. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
5.5.2. Общество безвозмездно предоставляет субъекту персональных данных (или его надлежаще уполномоченному в силу доверенности или закона представителю) возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.
5.5.3. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
5.5.4. Общество предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
5.5.5. Если в обращении (запросе) субъекта персональных данных не отражены, в соответствии с требованиями Закона о персональных данных, все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
5.5.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
5.6. Блокирование.
5.6.1. Блокирование персональных данных осуществляется в случае выявления неточности в персональных данных или выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора.
5.6.2. Сроки блокирования – персональные данные блокируются с момента обращения\запроса субъекта персональных данных или его представителя, или по запросу Роскомнадзора — на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
5.6.3. Разблокировка возможна на основании сведений или иных необходимых документов, представленных субъектом персональных данных или его представителем либо Роскомнадзором, в течение семи рабочих дней со дня представления таких сведений.
5.7. Расследование инцидентов.
5.7.1. При выявлении Обществом, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Общество:
·       В течение 24 часов — уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
·       В течение 72 часов — уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
5.8. Уничтожение.
5.8.1. Условия и сроки уничтожения персональных данных в Обществе:
·       Достижение цели обработки персональных данных, либо утрата необходимости достигать эту цель — в течение 30 дней, если иное не предусмотрено действующим законодательством Российской Федерации;
·       Достижение максимальных сроков хранения документов, содержащих персональные данные, — в течение 30 дней, если иное не предусмотрено действующим законодательством Российской Федерации;
·       Предоставление субъектом персональных данных (его законным представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, — в срок, не превышающий 3 рабочих дней;
·       Отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, — в течение 30 дней, если иное не предусмотрено действующим законодательством Российской Федерации.
·       Субъект персональных данных самостоятельно, случайно или умышленно передал свои персональные данные Обществу, в случае если обработка переданных персональных данных не требуется для достижения целей обработки – Общество обязано немедленно уничтожить, либо обеспечить уничтожение таких персональных данных.
5.8.2. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
·       Иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
·       Общество не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
·       Иное не предусмотрено другим соглашением между Обществом и субъектом персональных данных.
5.8.3. Ответственные лица, порядок и способы уничтожения персональных данных установлены в локальных нормативных актах Общества.
5.9. Обработка персональных данных посетителей сайта Общества осуществляется в соответствии с Условиями обработки персональных данных посетителей сайта.

6. Основные права и обязанности

6.1. Общество вправе:
· Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено действующим законодательством Российской Федерации;
· Во исполнение условий заключаемых гражданско-правовых договоров в рамках осуществляемой деятельности, исключительно по письменному поручению стороны такого договора (далее - Контрагент), при условии соблюдения требований о передаче персональных данных таким лицом выступать в качестве оператора персональных данных работников и /или иных лиц на стороне Контрагента, а также, если в силу обстоятельств применимо, поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных действующим законодательством Российской Федерации;
· В случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных действующим законодательством Российской Федерации.
6.2. Общество обязано:
· Организовывать обработку персональных данных в соответствии с требованиями действующего законодательства Российской Федерации;
· Отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями действующего законодательства Российской Федерации;
· Сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на 5 рабочих дней. Для этого Обществу необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;
· В порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.
6.3. Субъект персональных данных вправе:
· Получать информацию, касающуюся обработки его персональных данных в соответствии с Законом о персональных данных, за исключением случаев, предусмотренных федеральными законами, в т.ч. содержащей:
o Подтверждение факта обработки персональных данных;
o Правовые основания и цели обработки персональных данных;
o Цели и применяемые оператором способы обработки персональных данных;
o Наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании Федерального закона;
o Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
o Сроки обработки персональных данных, в том числе сроки их хранения;
o Информацию об осуществленной или о предполагаемой трансграничной передаче данных;
o Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена таковому лицу;
o Иные сведения, предусмотренные настоящим Федеральным законом или другими Федеральными законами.
· Требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
· Давать предварительное согласие на обработку его персональных данных в целях, определённых настоящей Политикой;
· Обжаловать действия (бездействия) Общества, осуществляющего обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушающего его права и свободы, в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
· Защищать свои права и законные интересы, в т.ч. в судебном порядке.
6.4. Субъект персональных данных обязан:
· Обеспечивать точность, достоверность и актуальность при предоставлении персональных данных Обществу.
· Своевременно извещать Общество об изменении своих персональных данных в случае, если такая обязанность предусмотрена действующим законодательством Российской Федерации или договором с субъектом персональных данных.
· Своевременно извещать Общество о факте утечек своих персональных данных.

7. Заключительные положения

7.1. Контроль за исполнением требований настоящей Политики осуществляет ответственный за организацию обработки персональных данных, назначенный в Обществе в соответствии с требованиями действующего законодательства Российской Федерации.

7.2. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов Общества в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.