Турбо логотип
Турбо логотип
hello@turbocloud.ru

Политика в отношении обработки персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика в отношении обработки персональных данных в АО «ЦХД» (далее - Политика) определяет основные принципы, условия и цели обработки персональных данных (далее – ПДн) работников АО «ЦХД» (далее – Общество) и иных субъектов ПДн.

1.2. Целью настоящей Политики является обеспечение реализации требований законодательства Российской Федерации в области обработки персональных данных, направленного на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в частности в целях защиты от несанкционированного доступа и неправомерного распространения персональных данных.

1.3. Основные задачи Политики:

  • определение основных принципов, целей и условий обработки персональных данных, перечней субъектов и категорий персональных данных;
  • определение функций АО «ЦХД» при обработке персональных данных, а также реализуемых в Обществе требований к защите персональных данных.

1.4. АО «ЦХД» является оператором ПДн в соответствии с законодательством Российской Федерации о персональных данных.

1.5. Политика действует в отношении информации, которую Общество получает о субъекте персональных данных (в том числе работников Общества) в процессе оказания услуг и/или исполнения договорных обязательств при условии согласия субъекта на обработку его персональных данных, а также в иных случаях, предусмотренных законодательством о персональных данных.

1.6. Требования настоящей Политики распространяются на действия всех работников Общества, осуществляющих любые действия (операции) или совокупность действий (операций) с ПДн с использованием средств автоматизации, или без использования таких средств.

1.7. Во исполнение требований ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» настоящая Политика публикуется в свободном доступе на сайте Общества.

1.8. Политика должна являться основой при разработке внутренней нормативной документации в области обработки персональных данных всеми дочерними и зависимыми обществами.

1.9. Срок действия данного внутреннего нормативного документа не ограничен.

1.10. Политика распространяется на отношения в области обработки персональных данных, возникшие у Общества как до, так и после утверждения настоящей Политики.

2. ОСНОВНЫЕ ПОНЯТИЯ

2.1 Термины: Автоматизированная обработка персональных данных — Обработка персональных данных с помощью средств вычислительной техники

Блокирование персональных данных — Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) (для целей настоящего документа)

Информационная система персональных данных — Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств

Обезличивание персональных данных — Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных

Обработка персональных данных — Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

Общество — Акционерное общество «Центр Хранения Данных» Оператор персональных данных — Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными

Персональные данные — Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Предоставление персональных данных — Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц

Пользователь — Лицо, которому разрешено выполнять некоторые действия (операции) по обработке информации в системе, или использующее результаты ее функционирования

Распространение персональных данных — Действия, направленные на раскрытие персональных данных неопределенному кругу лиц

Сервисы общества — Любые сайты Общества в сети Интернет, программы для ЭВМ (мобильные приложения), функционирующие под управлением Android, iOS и других операционных систем, а также непосредственно продукты и (или) услуги, предоставляемые Обществом при помощи Сервисов

Трансграничная передача персональных данных — Передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу

Уничтожение персональных данных — Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных

Файлы cookie — Небольшие фрагменты данных со служебной информацией о посещении сайта, которые сервер отправляет на устройство Пользователя. Файлы cookie запоминают информацию о предпочтениях Пользователя, позволяют в более удобном для Пользователя режиме просматривать посещенные сайты в течение определенного времени.

2.2 Сокращения: ВНД — Внутренний нормативный документ ГК «РТК-ЦОД» — Группа компаний Ростелеком ЦОД ИСПДн — Информационная система персональных данных ПДн — Персональные данные ССП — Самостоятельное структурное подразделение

3. ПЕРЕЧЕНЬ НОРМАТИВНЫХ ДОКУМЕНТОВ

Настоящая Политика разработана с учетом требований следующих документов:

  • Конституция Российской Федерации от 12.12.1993; ­
  • Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ; ­
  • Налоговый кодекс Российской Федерации от 31.07.1998 № 146-ФЗ; ­
  • Федеральный закон Российской Федерации «О персональных данных» от 27.07.2006 № 152-ФЗ; ­
  • Федеральный закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ;
  • Федеральный закон от 07.07.2003 № 126-ФЗ «О связи»; ­
  • Федеральный закон от 26.12.1995 № 208-ФЗ «Об акционерных обществах»;
  • Постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; ­
  • Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; ­
  • Приказ Роскомнадзора от 28.10.2022 № 179 "Об утверждении Требований к подтверждению уничтожения персональных данных"; ­ иными нормативными правовыми актами, регулирующими обработку ПДн; ­
  • внутренними нормативными документами Общества.

4. ОСНОВНЫЕ ПРИНЦИПЫ ОБРАБОТКИ ПДН В ОБЩЕСТВЕ

4.1. Обработка ПДн в Обществе осуществляется на законной и справедливой основе.

4.2. Обработка ПДн в Обществе ограничивается достижением конкретных, заранее определенных и законных целей.

4.3. Обработка ПДн, несовместимая с целями сбора ПДн, не допускается.

4.4. Общество при накоплении и обработке ПДн не объединяет базы данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

4.5. Содержание и объем обрабатываемых в Обществе ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не являются избыточными по отношению к заявленным целям обработки.

4.6. При обработке ПДн обеспечивается их точность и достаточность, в необходимых случаях и актуальность по отношению к заявленным целям их обработки.

4.7. В Обществе принимаются необходимые меры по удалению или уточнению неполных или неточных ПДн.

4.8. Обработке в Обществе подлежат только ПДн, которые отвечают целям их обработки.

4.9. Общество контролирует, чтобы обрабатываемые ПДн не были избыточными по отношению к заявленным целям их обработки.

4.10. Хранение ПДн в Обществе осуществляется в форме, позволяющей определить субъекта персональных данных, на срок не более, чем этого требуют определенные в Обществе цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого либо выгодоприобретателем, или поручителем по которому является субъект персональных данных.

4.11. Обрабатываемые в Обществе ПДн подлежат уничтожению или обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.12. Биометрические ПДн (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором ПДн для установления личности субъекта ПДн) в Обществе не обрабатываются.

4.13. Общество не осуществляет трансграничную передачу ПДн.

5. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. В соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Общество самостоятельно определяет цели обработки ПДн и для каждой определенной цели соответствующие категории и перечень обрабатываемых ПДн, а также категории субъектов ПДн.

5.2. Цели обработки ПДн специфицированы в отдельном документе «Цели обработки ПДн, категории субъектов ПДн, перечень ПДн, обрабатываемых в АО «ЦХД».

6. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Правовыми основаниями обработки ПДн Обществом, на основании которых допускается обработка ПДн, с учетом определенных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» условий, являются:

  • согласие субъекта ПДн на обработку его персональных данных, надлежащим образом оформленное с учетом требований законодательства для соответствующей категории ПДн;
  • положения нормативных правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных, включая, но не ограничиваясь: ▪ Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ; ▪ Налоговый кодекс Российской Федерации от 31.07.1998 № 146-ФЗ; ▪ Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»; ▪ Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»; ▪ Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»; ▪ Федеральный закон от 26.12.1995 № 208-ФЗ «Об акционерных обществах»; ▪ Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»; ▪ Федеральный закон от 17.12.2001 № 173-ФЗ «О трудовых пенсиях в Российской Федерации»; ▪ Федеральный закон от 24.11.1995 № 181-ФЗ «О социальной защите инвалидов в Российской Федерации»; ▪ Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»; ▪ Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»; ▪ Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»; ▪ Федеральный закон Российской Федерации от 07.07.2003 № 126-ФЗ «О связи»; ▪ судебные акты, акты другого органа или должностного лица, подлежащие исполнению Обществом в соответствии с положениями законодательства Российской Федерации об исполнительном производстве; ▪ договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, если обработка ПДн необходима для заключения указанного договора или исполнения обязательств по договору; ▪ обеспечение и/или осуществление защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно; ▪ права и законные интересы Общества, третьих лиц, иных лиц либо достижение общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн.

7. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным Обществом целям обработки ПДн, определенным в соответствии с Разделом 6 настоящей Политики.

7.2. В соответствии с положениями Федерального закона от 27.07.2006 № 152- ФЗ «О персональных данных» Общество самостоятельно определяет для каждой определенной цели соответствующие категории и перечень обрабатываемых ПДн, а также категории субъектов ПДн.

7.3. Категории субъектов ПДн и перечень ПДн, специфицированы в отдельном документе «Цели обработки ПДн, категории субъектов ПДн, перечень ПДн, обрабатываемых в АО «ЦХД».

8. ОБЩИЕ УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. В зависимости от целей обработки ПДн такая обработка может включать в себя, в частности, совершение всех или некоторых из следующих действий (операций) с использованием средств автоматизации или без использования таких средств с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

8.2. Общество, получая доступ к ПДн, обязано не раскрывать и не распространять третьим лицам ПДн без согласия субъекта ПДн, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.

8.3. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным Обществом целям их обработки.

8.4. Обработка ПДн у в Обществе осуществляется с соблюдением принципов и правил, установленных ФЗ «О персональных данных» и допускается в следующих случаях:

  • обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
  • обработка ПДн необходима для достижения целей, предусмотренных законодательством Российской Федерации, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора ПДн функций, полномочий и обязанностей;
  • обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
  • обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
  • обработка ПДн необходима для осуществления прав и законных интересов Общества или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
  • обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн. Исключение составляет обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи; ­
  • осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных).

8.5. Общество может включать ПДн работников в общедоступные источники ПДн, при этом Общество берет письменное согласие работника на обработку его ПДн.

8.6. Общество может осуществлять обработку данных о состоянии здоровья работника в следующих случаях: ­

  • в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
  • для защиты жизни, здоровья или иных жизненно важных интересов работника либо для защиты жизни, здоровья или иных жизненно важных интересов других лиц, если получение согласия субъекта ПДн невозможно; ­
  • для установления или осуществления прав работника или третьих лиц, а равно и в связи с осуществлением правосудия; ­ в соответствии с законодательством об обязательных видах страхования, а также со страховым законодательством.

8.7. При необходимости получения письменного согласия субъекта на обработку его ПДн данное согласие субъекта может быть дано как субъектом ПДн, так и его представителем в любой форме, позволяющей подтвердить факт его получения.

8.8. При поручении обработки ПДн другому лицу Общество заключает договор (далее – поручение на обработку ПДн) с этим лицом и получает согласие субъекта ПДн, если иное не предусмотрено Федеральным законом. При этом Общество в поручении обязует лицо, осуществляющее обработку ПДн по поручению, соблюдать принципы и правила обработки ПДн, предусмотренные ФЗ «О персональных данных».

8.9. В случаях, когда Общество поручает обработку ПДн работников другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет само Общество. Лицо, осуществляющее обработку ПДн по поручению Общества, несет ответственность перед Обществом.

8.10. Хранение ПДн в Обществе осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, кроме случаев, когда срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн.

8.11. При осуществлении хранения ПДн Общество использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

8.12. Обработка ПДн в Обществе, осуществляемая без использования средств автоматизации, проводится таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн (материальных носителей ПДн) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.

8.13. Общество обеспечивает раздельное хранение ПДн (материальных носителей ПДн), используемых для различных целей обработки, осуществляемой без использования средств автоматизации. При хранении материальных носителей ПДн соблюдаются условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ.

9. УСЛОВИЯ ОБРАБОТКИ ИНФОРМАЦИИ О ПОЛЬЗОВАТЕЛЯХ СЕРВИСОВ ОБЩЕСТВА

9.1. Условия обработки информации о Пользователях действуют в отношении информации, которую Общество может получить о Пользователе. Условия применимы только к Сервисам Общества.

9.2. Использование Сервисов Общества означает согласие Пользователя с Политикой и указанными в них порядком обработки его персональной информации, в случае несогласия с этими условиями, Пользователь должен воздержаться от использования Сервисов Общества.

9.3. К информации о Пользователях Сервисов Общества может относиться:

  • персональная информация, предоставленная Пользователем при регистрации (создании учетной записи), такая как ФИО, номер телефона, адрес электронной почты;
  • стандартные данные, автоматически получаемые http-сервером при доступе Пользователя к Сервису Общества (ip-адрес хоста, адрес запрошенного ресурса, время, тип и информация о программе просмотра, пославшей запрос, вид операционной системы Пользователя, адрес Интернет-страницы, с которой был осуществлен переход на запрошенный ресурс, заголовок, содержащий идентификатор сессии для авторизованного Пользователя);
  • информация, хранящаяся на стороне браузера - информация, автоматически получаемая при доступе к Сервисам Общества и хранящаяся на стороне браузера, в том числе, но не ограничиваясь информацией, содержащейся в закладках (cookies);
  • информация о геолокации;
  • иная информация о Пользователе, необходимая для обработки в соответствии с условиями, регулирующими использование конкретных Сервисов Общества.

9.4. Общество использует файлы cookie для сбора персональной информации и связывания такой личной информации с устройством и веб-браузером Пользователя (см. Раздел 11 настоящей Политики).

9.5. Использование Пользователем определенных Сервисов Оператора или их отдельной функциональности возможно только при условии предоставления необходимых данных.

9.6. Допускается использование для аутентификации сервисов (интерфейсов) третьих лиц, в том числе ЕСИА (стандарты SAML и OpenID).

9.7. Общество исходит из того, что Пользователь, инициирующий обращение к Сервисам Общества:

  • сознательно использует Сервисы Общества от своего имени и достоверно указывает информацию о себе в объеме и в случаях, когда это требуется при регистрации, доступе и использовании Сервисов Общества;
  • сознательно определил и контролирует настройки используемого им программного обеспечения в соответствии со своими предпочтениями относительно защиты информации, хранящейся на стороне браузера, персональных данных, информации о собственном аппаратно-программном обеспечении и Интернетсоединении;
  • ознакомился и имеет возможность в любой момент ознакомиться с действующей Политикой путем перехода по гипертекстовой ссылке, размещенной на сайте Общества, с особыми условиями использования соответствующих Сервисов Общества (при их наличии);
  • заполняя размещенную на Сервисе Общества регистрационную форму и предоставляя свои персональные данные Обществу, Пользователь подтверждает, что он принимает условия предоставления таких Сервисов, а также настоящую Политику и дает согласие на обработку своих персональных данных Обществу в соответствии с условиями предоставления таких Сервисов и настоящей Политикой;
  • предоставляя данные третьих лиц, необходимые для использования Сервиса Общества, Пользователь подтверждает получение им согласия этих лиц на обработку их персональных данных или наличие у Пользователя полномочий на выражение согласия от имени таких лиц.

9.8. При регистрации и доступе к Сервисам Общества Пользователю запрещается указывать о себе недостоверную и/или неполную информацию. Пользователь самостоятельно несет риски наступления любых неблагоприятных последствий в случаях предоставления чужих и (или) недостоверных персональных данных.

9.9. Согласие, предоставляемое Пользователем при использовании Сервисов Общества и сообщении своих персональных данных и (или) персональных данных третьих лиц Обществу, распространяется на любую обработку (то есть как обработку без использования средств автоматизации, так и автоматизированную обработку), если это преследует цель обеспечения возможности использования Сервисов Общества согласно их назначению, в т.ч. для целей поддержания работоспособности Сервисов Общества, анализа информации об их использовании, осуществления действий направленных на подключение Пользователя к услугам Общества.

9.10. Общество не отвечает за то, что Пользователь действительно является тем лицом, от имени которого осуществлена регистрация и/или использование Сервиса Общества, и не несет ответственности за возможный ущерб, причиненный другим Пользователям или иным лицам в случае, если Пользователь не является таким лицом.

9.11. Если иное не установлено особыми условиями Сервисов, Общество не принимает на себя никаких обязательств по проверке достоверности персональных данных, указанных Пользователем, и не несет ответственности в случае, если Пользователь предоставит больший объем данных, чем это предусмотрено размещенной на Сервисе регистрационной формой и целями обработки персональных данных. Предоставляя персональные данные в объеме большем, чем это предусмотрено регистрационной формой и целями обработки персональных данных, Пользователь выражает свое согласие на обработку таких персональных данных Обществом.

9.12. Пользователь осознает и подтверждает, что при регистрации и/или использовании Сервисов Общества с использованием аккаунтов Пользователя в социальных сетях Оператор может получить больший объем персональных данных по сравнению с объемом, который предусмотрен размещенной на Сервисе Общества регистрационной формой, и что в этом случае на обработку таких данных Обществом дополнительное согласие Пользователя не требуется.

9.13. Согласие на обработку персональных данных Пользователем Сервиса предоставляется на весь период использования Сервиса Общества согласно его назначению, а также 3 (трех) лет после прекращения такого использования, если иное не предусмотрено законодательством РФ.

10. ИСПОЛЬЗОВАНИЕ ФАЙЛОВ COOKIE

10.1. Цель использования файлов cookie заключается в том, чтобы сайт запомнил предпочтения Пользователя (местоположение, язык и т.д.). Это исключает необходимость повторно вводить их при очередном посещении сайта и позволяет:

  • оставаться авторизованным в Сервисах;
  • улучшать качество вашей работы с Сервисами;
  • показывать приоритетную для Пользователя информацию;
  • анализировать статистику использования Сервисов.

10.2. Большинство современных браузеров позволяет выбрать — принимать обработку файлов cookie или нет, но их отключение влияет на корректность работы с сайтом.

10.3. Сервисы Общества используют следующие виды файлов cookie: ­

  • сессионные (временные) - существуют только во временной памяти, пока Пользователь находится на сайте. Обычно удаляются после того, как Пользователь закрываете страницу браузера. Такой вид файлов cookie необходим, чтобы избежать повторного ввода информации;
  • постоянные - позволяют идентифицировать устройство Пользователя и при его возвращении на сайт вспоминают информацию об устройстве и о действиях, совершенных Пользователем ранее. Этот вид файлов cookie удаляется через определённое время или когда Пользователь решит очистить cookie. То есть браузер будет передавать информацию на сервер при каждом посещении сайта Пользователем, пока данные не будут удалены;
  • обязательные - необходимы для корректной работы сайта и сервисных служб, например для входа в систему и обеспечения безопасности аккаунта Пользователя;
  • сторонние - принадлежат другому домену. Обычно они встраиваются на страницы других сайтов, например, в виде рекламного блока. Создатель файла cookie может получать данные о посетителях;
  • защищенные - такие файлы cookie передаются через шифрованное httpsсоединение HttpOnly. Они не видны коду браузера и отправляются только на сервер Общества, что позволяет предотвратить их утечку.

10.4. При первом посещении Сервисов во всплывающем окне (либо с помощью другого технического решения) Пользователю может быть предложено одобрить использование файлов cookie, которые будут записаны на его устройстве. При этом, технические файлы cookie устанавливаются автоматически при загрузке страницы, если иное не указано в настройках браузера. Если Пользователь одобрил использование файлов cookie, но потом захотел изменить свое решение, то сделать это можно, удалив сохраненные файлы в браузере Пользователя. 10.5. Сервисы Общества не требует обязательного согласия на установку файлов cookie на устройство Пользователя при использовании Сервисов. Если Пользователь не хочет, чтобы файлы cookie сохранялись на его устройстве, он может отключить эту опцию в настройках браузера. 10.6. На сайтах Общества используется инструмент веб-аналитики Яндекс.Метрика, который позволяет собирать обезличенную информацию об источниках трафика, посещаемости сайта и др. Для учета посетителей Яндекс.Метрика использует анонимные идентификаторы браузеров, которые сохраняются в файлах cookie.

11. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

11.1. При обработке ПДн Общество предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности ПДн от случайного или несанкционированного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от других неправомерных действий в отношении ПДн, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и подзаконными актами в области защиты ПДн.

11.2. Общество соблюдает обязанности оператора ПДн, установленные статьями №№ 18-19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». В Обществе определены и реализуются следующие требования законодательства в области защиты ПДн: ­ требования о соблюдении конфиденциальности ПДн; ­ требования к защите ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн; ­ требования об обязанности Общества при сборе ПДн, установленных ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

11.3. В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» Общество определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством в области ПДн, в частности:

  • в Обществе назначен ответственный за обработку и защиту ПДн;
  • определены угрозы безопасности ПДн при их обработке в информационных системах ПДн;
  • проводятся мероприятия в целях обнаружения фактов несанкционированного доступа к ПДн и принятия соответствующих мер реагирования в соответствии с действующим законодательством Российской Федерации;
  • определены мероприятия, направленные на восстановление ПДн, в случае их модификации или уничтожения вследствие несанкционированного доступа к ним;
  • ведется учет машинных носителей ПДн;
  • проводится оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
  • разработана система защиты информации для ИСПДн, учитывающая требования подзаконных актов Российской Федерации в области защиты ПДн и результаты моделирования угроз и нарушителей ИСПДн;
  • применяются средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия, для нейтрализации актуальных угроз безопасности;
  • в Обществе изданы локальные акты по вопросам обработки ПДн, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в области обработки ПДн, процедуры, направленные на устранение последствий таких нарушений;
  • проводится ознакомление работников, допущенных к обработке ПДн субъектов ПДн, с требованиями, установленными действующим законодательством Российской Федерации в области ПДн, настоящей Политикой, а также локальными нормативными актами Общества и/или обучения указанных работников;
  • организована надлежащая обработка ПДн, осуществляемая с использованием средств автоматизации (в том числе, использование сертифицированного программного обеспечения, разграничение доступа к компьютерам, локальной сети, информационным системам, обрабатывающим персональные данные, установление порядка уничтожения ПДн в информационных системах);
  • организован надлежащий порядок работы с ПДн, осуществляемый без использования средств автоматизации (в том числе, организация надлежащего хранения документов, содержащих ПДн, установление порядка уничтожения либо обезличивания ПДн, обрабатываемых без использования средств автоматизации);
  • доступ работников к информации, содержащей ПДн субъектов ПДн, организован в соответствии с их должностными (функциональными) обязанностями;
  • осуществляется внутренний контроль и (или) аудит соответствия обработки ПДн Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, настоящей Политике, локальным актам Общества;
  • осуществляется внутренний контроль операций с ПДн для работников Общества, что может включать анализ информации, электронных писем и сообщений, а также файлов с использованием системы предотвращения утечек конфиденциальной информации из информационных систем Общества вовне;
  • проводится оценка вреда, который может быть причинен субъектам персональных данных в Обществе в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

12. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

12.1. В случае подтверждения факта неточности ПДн они подлежат их актуализации Обществом.

12.2. Обработка ПДн прекращается Обществом в случае выявления и подтверждения факта неправомерности их обработки.

12.3. ПДн подлежат уничтожению Обществом в случаях достижения целей обработки ПДн, а также надлежащим образом оформленного отзыва субъектом ПДн согласия на их обработку. При этом в случае получения Обществом отзыва субъектом ПДн согласия на их обработку Общество вправе продолжить такую обработку если она предусмотрена договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн или обработка ПДн требуется для исполнения требований действующего законодательства Российской Федерации.

12.4. Уничтожение персональных данных производится с соблюдением Требований к подтверждению уничтожения персональных данных, которые утверждены Приказом Роскомнадзора от 28.10.2022 № 179.

13. ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ ПДн НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

13.1. Общество осуществляет прием и обработку обращений субъектов ПДн, а также контроль обеспечения такого приема и обработки в целях соблюдения прав и законных интересов субъекта ПДн. При рассмотрении обращений либо при получении запросов субъектов ПДн Общество руководствуется положениями Федерального закона от 27.07.2006 № 152- ФЗ «О персональных данных».

13.2. Общество, получив обращение либо запрос субъекта ПДн, содержащие информацию, предусмотренную Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», убедившись в законности такого обращения либо запроса, предоставляет субъекту ПДн и/или его представителю, обладающему полномочиями на предоставление интересов субъекта ПДн, сведения, указанные в запросе, в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе, или принимает иные меры в зависимости от специфики (особенностей) обращения либо запроса. При этом, предоставляемые Обществом сведения не могут содержать ПДн других субъектов ПДн, исключение составляют случаи, при которых имеются законные основания для раскрытия ПДн других субъектов ПДн.

13.3. Общество вправе отказать субъекту ПДн в удовлетворении требований, указанных в обращении либо запросе, посредством предоставления мотивированного отказа субъекту ПДн или его представителю, в случае наличия у Общества законных оснований.

13.4. Процесс обработки запросов субъектов ПДн или их представителей, запросов уполномоченных органов осуществляется в соответствии с внутренними нормативными документами Общества.

14. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

14.1. Работники Общества, имеющие доступ к персональным данным субъектов ПДн, несут ответственность за сохранность и конфиденциальность ПДн.

14.2. Лица, виновные в нарушении положений законодательства Российской Федерации в области обработки персональных данных, несут дисциплинарную, гражданско-правовую, административную и уголовную ответственность в порядке, предусмотренном действующим законодательством Российской Федерации.

15. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

15.1. Документирование и хранение информации определяется действующим внутренним нормативным документом Общества, регулирующим правила выпуска внутренних нормативных и организационно-распорядительных документов, если иное не указано в настоящей Политике.

15.2. Решение о внесении изменений в Политику принимает Владелец документа на основании предложений других подразделений, результатов применения документа в Обществе, анализа зарегистрированных и устраненных несоответствий, а также по поручению органа управления, по распоряжению руководителей Общества, на основании рекомендаций внутренних или внешних аудиторов. 15.3. Утверждение, а также внесение изменений в Политику производится приказом Генерального директора Общества с обязательной отметкой в Листе регистрации изменений, дополнений и ревизий документа.