Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека
лицензия 77.01.13.003.Л.000172.03.25 (ЕРУЛ № Л064-00111-77/01985908)
Политика обработки персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1«Политика Общества с ограниченной ответственностью Центр Профилактики «Гигиена- Мед» в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных» (далее - «Политика») определяет общие принципы и порядок обработки персональных данных и меры по обеспечению их безопасности в Обществе с ограниченной ответственностью Центр Профилактики «Гигиена- Мед».
Целью Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, чёткое и неукоснительное соблюдение требований законодательства Российской Федерации в области персональных данных (далее — законодательство).
1.2 Политика разработана в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», другими законодательными и нормативными правовыми актами, определяющими порядок работы с персональными данными и требования к обеспечению их безопасности.
1.3 В Политике используются следующие термины и определения:
2. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1 Обработка персональных данных Оператором осуществляется в соответствии со следующими принципами:
2.2 Законность и справедливая основа обработки персональных данных. Оператор принимает все необходимые меры по выполнению требований законодательства, не обрабатывает персональные данные в случаях, когда это не допускается законодательством, не использует персональные данные во вред субъектам.
2.3 Ограничение обработки персональных данных достижением конкретных, заранее определённых и законных целей.
2.4 Целями обработки персональных данных Оператором являются:
2.6 Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
2.7 Обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных. Оператор принимает все разумные меры по поддержке актуальности обрабатываемых персональных данных, включая, но не ограничиваясь, реализацией права каждого субъекта получать для ознакомления свои персональные данные и требовать от Компании их уточнения, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных выше целей обработки.
2.8 Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством, договором, стороной которого является субъект персональных данных.
2.9 Уничтожение либо обезличивание персональных данных по достижении заявленных целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений установленного законодательством порядка обработки персональных данных, отзыве согласия на обработку субъектом персональных данных, если иное не предусмотрено законодательством или договорами с субъектами.
3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1 Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
4. ОБЪЕМ И КАТЕГОРИИ СУБЪЕКТОВ, ЧЬИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ОБРАБАТЫВАЮТСЯ ОПЕРАТОРОМ
4.1 Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 2 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.2 Оператор является оператором персональных данных в отношении персональных данных следующих физических лиц:
– работников Компании, с которыми заключены или были заключены трудовые договоры, в том числе тех, с которыми трудовые договоры уже прекращены (расторгнуты) (далее — Работники):
контактные данные;
Субъект персональных данных одновременно может относиться к нескольким категориям, указанным выше, например, являться Покупателем, Пользователем сайта и Посетителем сайта и т. п.
1.1«Политика Общества с ограниченной ответственностью Центр Профилактики «Гигиена- Мед» в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных» (далее - «Политика») определяет общие принципы и порядок обработки персональных данных и меры по обеспечению их безопасности в Обществе с ограниченной ответственностью Центр Профилактики «Гигиена- Мед».
Целью Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, чёткое и неукоснительное соблюдение требований законодательства Российской Федерации в области персональных данных (далее — законодательство).
1.2 Политика разработана в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», другими законодательными и нормативными правовыми актами, определяющими порядок работы с персональными данными и требования к обеспечению их безопасности.
1.3 В Политике используются следующие термины и определения:
- оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и/или осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В Положении под оператором понимается ООО Центр Профилактики «Гигиена-Мед»;
- субъект персональных данных — физическое лицо, к которому относятся персональные данные;
- автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
- база персональных данных — упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных);
- биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность, и которые используются оператором для установления личности субъекта персональных данных;
- блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- дата-центр — специализированная организация, предоставляющая услуги по размещению серверного и сетевого оборудования, сдаче серверов (в том числе виртуальных) в аренду, а также по подключению к сети интернет;
- доступ к персональным данным — ознакомление определённых лиц (в том числе работников) с персональными данными субъектов, обрабатываемыми Оператором, при условии сохранения конфиденциальности этих сведений;
- контрагент — сторона договора с Оператором, не являющаяся работником Компании;
- конфиденциальность персональных данных — обязанность лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством;
- обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных либо по его просьбе, а также данные, которые подлежат обязательному раскрытию или опубликованию в соответствии с требованиями законодательства;
- персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);
- предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;
- распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц;
- трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
- уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и/или в результате которых уничтожаются материальные носители персональных данных.
2. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1 Обработка персональных данных Оператором осуществляется в соответствии со следующими принципами:
2.2 Законность и справедливая основа обработки персональных данных. Оператор принимает все необходимые меры по выполнению требований законодательства, не обрабатывает персональные данные в случаях, когда это не допускается законодательством, не использует персональные данные во вред субъектам.
2.3 Ограничение обработки персональных данных достижением конкретных, заранее определённых и законных целей.
2.4 Целями обработки персональных данных Оператором являются:
- в отношении Работников — исполнение заключённых трудовых договоров, в том числе соблюдение законов и иных нормативных правовых актов, содействие работникам в обучении, повышении квалификации и продвижении по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы и обеспечения сохранности имущества; организация внутреннего документооборота; выпуск доверенностей; организация и проведение производственной практики и стажировки на основании ученических договоров; расчёт и выплата заработной платы, удержание по исполнительным документам, иных начислений, расчёт и перечисление налогов и страховых взносов; ведение воинского учёта; предоставление Работникам дополнительных услуг за счёт работодателя (перечисление доходов на платёжные карты, страхование за счёт работодателя, негосударственное пенсионное обеспечение, обеспечение командировок, визовая поддержка и пр.); выполнение требований нормативных правовых актов органов государственного статистического учёта;
- в отношении Членов семей работников — предоставление работникам льгот и гарантий, предусмотренных законодательством для лиц, имеющих (усыновивших) детей, лиц с семейными обязанностями; предоставление дополнительного страхования для родственников и детей работников; предоставление иных льгот для детей и родственников работников; выполнение требований ТК РФ об информировании родственников о тяжёлых несчастных случаях или несчастных случаях со смертельным исходом; выполнение требований нормативных правовых актов органов государственного статистического учёта, исполнение требований Федеральной службы судебных приставов;
- в отношении Соискателей — принятие решения о возможности замещения вакантных должностей соискателями, наиболее полно соответствующими требованиям Компании; включение в кадровый резерв;
- в отношении Покупателей — обеспечение функционирования программы лояльности Компании, продажи через интернет-магазин; проведение промоакций и других мероприятий для Покупателей; подготовка ответов на обращения, запросы, претензии; подготовка исковых заявлений для защиты прав и интересов Оператора в суде.
- в отношении Контрагентов / Представителей контрагентов — выполнение норм Гражданского кодекса Российской Федерации, регулирующих договорную работу, заключение и исполнение договоров с контрагентами; организация документооборота с Контрагентами; проверка благонадежности Контрагента, включающая оценку и управление юридическими, репутационными и комплаенс рисками; подготовка претензий и исковых заявлений для защиты прав и интересов Оператора в суде.
- в отношении Представителей субъектов — выполнение Оператором действий по поручению представителей субъектов персональных данных;
- в отношении Посетителей — обеспечение возможности прохода в помещения Компании лиц, не имеющих постоянных пропусков, контроль их убытия из охраняемых помещений;
- в отношении Пользователей сайта — продажа, приобретение продукции, реализуемой Оператором в интернет-магазине, доставка ее покупателям; предоставление возможности воспользоваться формами обратной связи с Оператором, подписка на рассылки о новинках и проводимых акциях; организация и проведение акций, конкурсов и мероприятий, включая последующие вручение призов и выплату вознаграждений победителям;
- в отношении Посетителей сайта — информирование о продукции, реализуемой Оператором, и сервисах, предоставляемых с использованием сайта https://gmed.ru/
2.6 Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
2.7 Обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных. Оператор принимает все разумные меры по поддержке актуальности обрабатываемых персональных данных, включая, но не ограничиваясь, реализацией права каждого субъекта получать для ознакомления свои персональные данные и требовать от Компании их уточнения, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных выше целей обработки.
2.8 Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством, договором, стороной которого является субъект персональных данных.
2.9 Уничтожение либо обезличивание персональных данных по достижении заявленных целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений установленного законодательством порядка обработки персональных данных, отзыве согласия на обработку субъектом персональных данных, если иное не предусмотрено законодательством или договорами с субъектами.
3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1 Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 08.02.1998 N 14-ФЗ "Об обществах с ограниченной ответственностью";
- Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете";
- Федеральный закон от 15.12.2001 N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации";
- Федеральный закона от 28.03.1998 №53-ФЗ "О воинской обязанности и военной службе";
- Федеральный закон от 02.10.2007 N 229-ФЗ "Об исполнительном производстве";
- иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
- Устав ООО ЦП "Гигиена-Мед";
- договоры, заключаемые между Оператором и субъектами персональных данных;
- согласие субъектов персональных данных на обработку их персональных данных.
4. ОБЪЕМ И КАТЕГОРИИ СУБЪЕКТОВ, ЧЬИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ОБРАБАТЫВАЮТСЯ ОПЕРАТОРОМ
4.1 Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разделе 2 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.2 Оператор является оператором персональных данных в отношении персональных данных следующих физических лиц:
– работников Компании, с которыми заключены или были заключены трудовые договоры, в том числе тех, с которыми трудовые договоры уже прекращены (расторгнуты) (далее — Работники):
- фамилия, имя, отчество;
- пол;
- гражданство;
- дата и место рождения;
- изображение (фотография);
- паспортные данные;
- адрес регистрации по месту жительства;
- адрес фактического проживания;
- контактные данные;
- индивидуальный номер налогоплательщика;
- страховой номер индивидуального лицевого счета (СНИЛС);
- сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
- семейное положение, наличие детей, родственные связи;
- сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
- данные о регистрации брака;
- сведения о воинском учете;
- сведения об инвалидности;
- сведения об удержании алиментов;
- сведения о доходе с предыдущего места работы;
- иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
- фамилия, имя, отчество;
- степень родства;
- год рождения;
- иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
- фамилия, имя, отчество;
- пол;
- дата рождения;
- количество полных лет;
- гражданство;
- контактные данные;
- сведения об образовании, опыте работы, квалификации;
- иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.
- фамилия, имя, отчество;
- контактные данные;
- фамилия, имя, отчество;
- дата и место рождения;
- паспортные данные;
- адрес регистрации по месту жительства;
- контактные данные;
- замещаемая должность;
- индивидуальный номер налогоплательщика;
- номер расчетного счета;
- иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.
- фамилия, имя, отчество;
- паспортные данные;
- контактные данные;
- замещаемая должность;
- иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров.
- фамилия, имя, отчество;
- паспортные данные;
- контактные данные;
- имя;
- контактные данные.
контактные данные;
Субъект персональных данных одновременно может относиться к нескольким категориям, указанным выше, например, являться Покупателем, Пользователем сайта и Посетителем сайта и т. п.
5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1 Обработка персональных данных Оператором допускается в следующих случаях:
5.1.1 При наличии согласия субъекта персональных данных на обработку его персональных данных.
5.1.2 Обработка персональных данных необходима для осуществления и выполнения возложенных законодательством на Оператора функций, полномочий и обязанностей. К таким случаям, в том числе, относится, не исчерпывая их, обработка специальных категорий персональных данных Работников для достижения целей, предусмотренных трудовым и пенсионным законодательством.
5.1.3 Для исполнения договора, стороной которого является субъект персональных данных, для заключения договора по инициативе субъекта персональных данных. Такими договорами, не исчерпывая, являются:
5.1.4 Обработка персональных данных необходима для осуществления прав и законных интересов Компании или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъектов персональных данных.
5.1.5 Обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.
5.1.6 Доступ неограниченного круга лиц к персональным данным предоставлен субъектом персональных данных путём дачи согласия на обработку персональных данных, разрешённых субъектом для распространения.
5.1.7 Персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с законодательством.
5.2 Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.
5.3 Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством, договором с субъектом персональных данных, не указано в полученном от него согласии на обработку персональных данных.
5.4 Оператор не обрабатывает персональные данные, относящиеся к специальным категориям и касающиеся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья (за исключением сведений, относящихся к вопросу о возможности выполнения Работником трудовой функции), интимной жизни, о членстве Работников в общественных объединениях или их профсоюзной деятельности, за исключением случаев, прямо предусмотренных законодательством.
5.5 Обработка персональных данных о судимости может осуществляться Оператором исключительно в случаях и в порядке, установленных законодательством.
5.6 Оператор не принимает решения, порождающие юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие права и законные интересы субъекта, на основании исключительно автоматизированной обработки персональных данных. Данные, имеющие юридические последствия или затрагивающие права и законные интересы субъекта, подлежат перед их использованием проверке со стороны уполномоченных работников Компании.
5.7 Оператор является лицом, осуществляющим предоставление персональных данных другим операторам в соответствии с требованиями законодательства, к которым относятся без ограничения:
6. СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1 Оператор осуществляет обработку персональных данных следующими способами:
7. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ, УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
7.1 Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
7.2 Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
7.3 В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
7.4 В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
7.5 При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:
7.6.1 Условия и сроки уничтожения персональных данных Оператором:
7.6.4 Способы уничтожения персональных данных устанавливаются в локальных нормативных актах Оператора.
8. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1 Работниками Компании, получившими доступ к персональным данным, должна быть обеспечена конфиденциальность таких данных.
Обеспечение конфиденциальности не требуется в отношении:
8.3 Оператор вправе разместить свои информационные системы персональных данных в дата-центре или облачной вычислительной инфраструктуре, если договором с дата-центром или облачным провайдером доступ персонала дата-центра (облачного провайдера) к информационной системе персональных данных Компании не допускается и договор предусматривает обязанность дата-центра (облачного провайдера) контролировать соблюдение этого запрета, данное размещение не рассматривается Оператором как поручение обработки персональных данных дата-центру (облачному провайдеру) и не требует согласия субъектов персональных данных.
8.4 В случае если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несёт Оператор. Лицо, осуществляющее обработку персональных данных по поручению Компании, несёт ответственность перед Оператором.
9. СОГЛАСИЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ НА ОБРАБОТКУ СВОИХ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1 Субъект персональных данных принимает решение о предоставлении его персональных данных Компании и даёт согласие на их обработку свободно, своей волей и в своём интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным и может предоставляться субъектом в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством.
9.2 Требования к содержанию согласия на обработку персональных данных, разрешенных Субъектом персональных данных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 N 18.
9.3 В случае получения согласия на обработку персональных данных от Представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Оператором.
9.4 В случае получения Оператором персональных данных от контрагента на основании заключённого между ними договора ответственность за правомерность и достоверность персональных данных, а также за получение согласия субъектов (их представителей) на передачу их персональных данных Компании несёт контрагент, передающий персональные данные, что закрепляется в тексте договора с контрагентом.
9.5 Оператор, получившая персональные данные от контрагента, не принимает на себя обязательства по информированию субъектов (их представителей), чьи персональные данные ему переданы, о начале обработки персональных данных, полагая, что они проинформированы об этом передавшим персональные данные контрагентом при заключении договора с субъектом персональных данных и/или при получении согласия на такую передачу. Данная обязанность контрагента включается в договор между ним и Оператором.
9.6 Специально выраженного согласия Работника на обработку его персональных данных не требуется, так как обработка необходима для исполнения трудового договора, стороной которого является Работник — субъект персональных данных, и реализации возложенных законодательством на Оператора как работодателя функций, полномочий и обязанностей, за исключением случаев, когда необходимо получение согласия Работника в письменной форме для конкретных случаев обработки персональных данных.
9.7 Специально выраженного согласия Членов семей работников Компании не требуется, если обработка их персональных данных осуществляется на основании законодательства (для получения алиментов, оформления социальных выплат, предоставления льгот и гарантий и пр.), а также выполняется Оператором как работодателем в соответствии с требованиями органов государственного статистического учёта. Во всех остальных случаях необходимо получение доказываемого (подтверждаемого) согласия Членов семей работников на обработку их персональных данных Оператором.
9.8 Специально выраженного согласия Соискателя на обработку его персональных данных не требуется, т. к. обработка необходима в целях заключения трудового договора по инициативе Соискателя — субъекта персональных данных, за исключением случаев, когда необходимо получение согласия Соискателя в письменной форме для конкретных случаев обработки персональных данных. В случае принятия решения об отказе Соискателю в приёме на работу, его персональные данные должны быть уничтожены в течение 30 дней с даты принятия такого решения, если иное не предусмотрено соглашением с Соискателем или не указано в его согласии на обработку персональных данных, даваемом при включении во внешний кадровый резерв.
9.9 Согласия Покупателей даётся путём проставки отметки («галочки») в чек-боксе веб-формы при регистрации на сайте интернет-магазина, при заполнении данных в форме регистрации, а также в форме конклюдентных действий при обращении в Оператора любым способом и предоставлении персональных данных, необходимых для рассмотрения обращения.
9.10 Персональные данные лиц, подписавших договор с Оператором, содержащиеся в единых государственных реестрах юридических лиц и индивидуальных предпринимателей, являются открытыми и общедоступными, за исключением сведений о номере, дате выдачи и органе, выдавшем документ, удостоверяющий личность физического лица. Охраны их конфиденциальности и согласия субъектов на обработку таких данных не требуется.
Во всех остальных случаях необходимо получение согласия субъектов персональных данных, являющихся Представителями контрагентов, за исключением лиц, подписавших договоры с Оператором, предоставивших доверенности на право действовать от имени и по поручению контрагентов Компании, а также заполнивших веб-форму на сайте Компании и указавших свои персональные данные и тем самым совершивших конклюдентные
действия, подтверждающие их согласие с обработкой персональных данных, указанных в тексте договора, доверенности и/или регистрационной форме. Согласие у своего работника на передачу его персональных данных Компании и обработку ею этих персональных данных может получить контрагент. В этом случае получения Оператором согласия субъекта на обработку его персональных данных не требуется.
9.11 Согласие Представителя субъекта на обработку его персональных данных даётся в форме конклюдентных действий, выразившихся в предоставлении доверенности на право действовать от имени и по поручению субъектов персональных данных и документа, удостоверяющего его личность.
9.12 Согласие Посетителя на обработку персональных данных даётся в форме конклюдентных действий, а именно — предоставления персональных данных, запрашиваемых при посещении Компании.
9.13 Согласие Пользователей сайта на обработку их персональных данных даётся путём простановки соответствующей отметки в чек-боксе веб-формы на сайте, предусматривающей ввод персональных данных, или при акцепте оферты, предусматривающей обработку персональных данных, а также при указании персональных данных в запросах, направляемых в Оператора в письменной и электронной форме и т. п.
9.14 Согласие Посетителей сайта https://gmed.ru/ на обработку их персональных данных о программном обеспечении и аппаратном оборудовании Пользователя, IP-адресе, просмотре страниц указанного сайта, содержащихся в файлах cookie, получаемых Оператором, даётся путём закрытия всплывающего баннера с информацией об использовании файлов cookie.
9.15 В случае необходимости получения согласия субъекта на обработку персональных данных в письменной форме такое согласие может быть получено в форме электронного документа, подписанного электронной подписью в соответствии с требованиями, установленными законодательством об электронной подписи.
9.16 Согласие субъектов на предоставление их персональных данных не требуется при получении Оператором в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов следствия и дознания, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию в соответствии с компетенцией, предусмотренной законодательством.
Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.
9.17 В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, Оператор обязана получить согласие субъекта на предоставление его персональных данных и предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.
9.18 Согласие на обработку персональных данных, обработка которых не установлена требованиями законодательства РФ или не требуется для исполнения договора с Оператором, стороной которого является субъект персональных данных, может быть отозвано субъектом персональных данных.
9.19 Во всех случаях обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных», возлагается на Оператора.
10. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных.
10.2 Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством меры по защите своих прав.
10.3 Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Компании, обратившись в уполномоченный орган по защите прав субъектов персональных данных, или в судебном порядке.
10.4 Субъект персональных данных имеет право на защиту своих прав и законных интересов, обжаловать неправомерные действия или бездействие Оператора при обработке его персональных данных, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
11. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1 Защита персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований законодательства в области защиты персональных данных.
11.2 Правовые меры включают в себя:
12.1 Иные обязанности и права Компании как оператора персональных данных и лица, организующего их обработку по поручению других операторов, определяются законодательством Российской Федерации в области персональных данных.
12.2 Должностные лица и работники Компании, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.
5.1 Обработка персональных данных Оператором допускается в следующих случаях:
5.1.1 При наличии согласия субъекта персональных данных на обработку его персональных данных.
5.1.2 Обработка персональных данных необходима для осуществления и выполнения возложенных законодательством на Оператора функций, полномочий и обязанностей. К таким случаям, в том числе, относится, не исчерпывая их, обработка специальных категорий персональных данных Работников для достижения целей, предусмотренных трудовым и пенсионным законодательством.
5.1.3 Для исполнения договора, стороной которого является субъект персональных данных, для заключения договора по инициативе субъекта персональных данных. Такими договорами, не исчерпывая, являются:
- трудовые договоры с Работниками Компании;
- гражданско-правовые договоры с контрагентами физическими лицами и индивидуальными предпринимателями;
- договоры розничной купли-продажи, заключённые Оператором с Покупателем при продаже товаров через интернет-магазин дистанционным способом.
5.1.4 Обработка персональных данных необходима для осуществления прав и законных интересов Компании или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъектов персональных данных.
5.1.5 Обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.
5.1.6 Доступ неограниченного круга лиц к персональным данным предоставлен субъектом персональных данных путём дачи согласия на обработку персональных данных, разрешённых субъектом для распространения.
5.1.7 Персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с законодательством.
5.2 Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.
5.3 Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством, договором с субъектом персональных данных, не указано в полученном от него согласии на обработку персональных данных.
5.4 Оператор не обрабатывает персональные данные, относящиеся к специальным категориям и касающиеся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья (за исключением сведений, относящихся к вопросу о возможности выполнения Работником трудовой функции), интимной жизни, о членстве Работников в общественных объединениях или их профсоюзной деятельности, за исключением случаев, прямо предусмотренных законодательством.
5.5 Обработка персональных данных о судимости может осуществляться Оператором исключительно в случаях и в порядке, установленных законодательством.
5.6 Оператор не принимает решения, порождающие юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие права и законные интересы субъекта, на основании исключительно автоматизированной обработки персональных данных. Данные, имеющие юридические последствия или затрагивающие права и законные интересы субъекта, подлежат перед их использованием проверке со стороны уполномоченных работников Компании.
5.7 Оператор является лицом, осуществляющим предоставление персональных данных другим операторам в соответствии с требованиями законодательства, к которым относятся без ограничения:
- органы власти, местного самоуправления и государственные внебюджетные фонды, в которые перечисляются средства Работников или средства для зачисления на счета Работников (инспекции Федеральной налоговой службы, территориальные отделения Пенсионного фонда Российской Федерации, Федерального фонда обязательного медицинского страхования, Фонда социального страхования Российской Федерации др.), надзорные органы;
- органы статистики, военные комиссариаты, операторы связи, профсоюзные органы, иные организации, которым персональные данные предоставляются (передаются) в случаях, предусмотренных законодательством;
- операторы фискальных данных, которым передаются персональные данные кассиров в соответствии с требованиями законодательства.
6. СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1 Оператор осуществляет обработку персональных данных следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
7. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ, УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
7.1 Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
- Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
- подпись субъекта персональных данных или его представителя.
Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
7.2 Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
7.3 В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
7.4 В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
7.5 При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:
- в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
- в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
7.6.1 Условия и сроки уничтожения персональных данных Оператором:
- достижение цели обработки персональных данных либо утрата необходимости достигать эту цель - в течение 30 дней;
- достижение максимальных сроков хранения документов, содержащих персональные данные, - в течение 30 дней;
- предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение семи рабочих дней;
- отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, - в течение 30 дней.
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
- иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
7.6.4 Способы уничтожения персональных данных устанавливаются в локальных нормативных актах Оператора.
8. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1 Работниками Компании, получившими доступ к персональным данным, должна быть обеспечена конфиденциальность таких данных.
Обеспечение конфиденциальности не требуется в отношении:
- персональных данных после их обезличивания;
- общедоступных персональных данных.
8.3 Оператор вправе разместить свои информационные системы персональных данных в дата-центре или облачной вычислительной инфраструктуре, если договором с дата-центром или облачным провайдером доступ персонала дата-центра (облачного провайдера) к информационной системе персональных данных Компании не допускается и договор предусматривает обязанность дата-центра (облачного провайдера) контролировать соблюдение этого запрета, данное размещение не рассматривается Оператором как поручение обработки персональных данных дата-центру (облачному провайдеру) и не требует согласия субъектов персональных данных.
8.4 В случае если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несёт Оператор. Лицо, осуществляющее обработку персональных данных по поручению Компании, несёт ответственность перед Оператором.
9. СОГЛАСИЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ НА ОБРАБОТКУ СВОИХ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1 Субъект персональных данных принимает решение о предоставлении его персональных данных Компании и даёт согласие на их обработку свободно, своей волей и в своём интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным и может предоставляться субъектом в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством.
9.2 Требования к содержанию согласия на обработку персональных данных, разрешенных Субъектом персональных данных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 N 18.
9.3 В случае получения согласия на обработку персональных данных от Представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Оператором.
9.4 В случае получения Оператором персональных данных от контрагента на основании заключённого между ними договора ответственность за правомерность и достоверность персональных данных, а также за получение согласия субъектов (их представителей) на передачу их персональных данных Компании несёт контрагент, передающий персональные данные, что закрепляется в тексте договора с контрагентом.
9.5 Оператор, получившая персональные данные от контрагента, не принимает на себя обязательства по информированию субъектов (их представителей), чьи персональные данные ему переданы, о начале обработки персональных данных, полагая, что они проинформированы об этом передавшим персональные данные контрагентом при заключении договора с субъектом персональных данных и/или при получении согласия на такую передачу. Данная обязанность контрагента включается в договор между ним и Оператором.
9.6 Специально выраженного согласия Работника на обработку его персональных данных не требуется, так как обработка необходима для исполнения трудового договора, стороной которого является Работник — субъект персональных данных, и реализации возложенных законодательством на Оператора как работодателя функций, полномочий и обязанностей, за исключением случаев, когда необходимо получение согласия Работника в письменной форме для конкретных случаев обработки персональных данных.
9.7 Специально выраженного согласия Членов семей работников Компании не требуется, если обработка их персональных данных осуществляется на основании законодательства (для получения алиментов, оформления социальных выплат, предоставления льгот и гарантий и пр.), а также выполняется Оператором как работодателем в соответствии с требованиями органов государственного статистического учёта. Во всех остальных случаях необходимо получение доказываемого (подтверждаемого) согласия Членов семей работников на обработку их персональных данных Оператором.
9.8 Специально выраженного согласия Соискателя на обработку его персональных данных не требуется, т. к. обработка необходима в целях заключения трудового договора по инициативе Соискателя — субъекта персональных данных, за исключением случаев, когда необходимо получение согласия Соискателя в письменной форме для конкретных случаев обработки персональных данных. В случае принятия решения об отказе Соискателю в приёме на работу, его персональные данные должны быть уничтожены в течение 30 дней с даты принятия такого решения, если иное не предусмотрено соглашением с Соискателем или не указано в его согласии на обработку персональных данных, даваемом при включении во внешний кадровый резерв.
9.9 Согласия Покупателей даётся путём проставки отметки («галочки») в чек-боксе веб-формы при регистрации на сайте интернет-магазина, при заполнении данных в форме регистрации, а также в форме конклюдентных действий при обращении в Оператора любым способом и предоставлении персональных данных, необходимых для рассмотрения обращения.
9.10 Персональные данные лиц, подписавших договор с Оператором, содержащиеся в единых государственных реестрах юридических лиц и индивидуальных предпринимателей, являются открытыми и общедоступными, за исключением сведений о номере, дате выдачи и органе, выдавшем документ, удостоверяющий личность физического лица. Охраны их конфиденциальности и согласия субъектов на обработку таких данных не требуется.
Во всех остальных случаях необходимо получение согласия субъектов персональных данных, являющихся Представителями контрагентов, за исключением лиц, подписавших договоры с Оператором, предоставивших доверенности на право действовать от имени и по поручению контрагентов Компании, а также заполнивших веб-форму на сайте Компании и указавших свои персональные данные и тем самым совершивших конклюдентные
действия, подтверждающие их согласие с обработкой персональных данных, указанных в тексте договора, доверенности и/или регистрационной форме. Согласие у своего работника на передачу его персональных данных Компании и обработку ею этих персональных данных может получить контрагент. В этом случае получения Оператором согласия субъекта на обработку его персональных данных не требуется.
9.11 Согласие Представителя субъекта на обработку его персональных данных даётся в форме конклюдентных действий, выразившихся в предоставлении доверенности на право действовать от имени и по поручению субъектов персональных данных и документа, удостоверяющего его личность.
9.12 Согласие Посетителя на обработку персональных данных даётся в форме конклюдентных действий, а именно — предоставления персональных данных, запрашиваемых при посещении Компании.
9.13 Согласие Пользователей сайта на обработку их персональных данных даётся путём простановки соответствующей отметки в чек-боксе веб-формы на сайте, предусматривающей ввод персональных данных, или при акцепте оферты, предусматривающей обработку персональных данных, а также при указании персональных данных в запросах, направляемых в Оператора в письменной и электронной форме и т. п.
9.14 Согласие Посетителей сайта https://gmed.ru/ на обработку их персональных данных о программном обеспечении и аппаратном оборудовании Пользователя, IP-адресе, просмотре страниц указанного сайта, содержащихся в файлах cookie, получаемых Оператором, даётся путём закрытия всплывающего баннера с информацией об использовании файлов cookie.
9.15 В случае необходимости получения согласия субъекта на обработку персональных данных в письменной форме такое согласие может быть получено в форме электронного документа, подписанного электронной подписью в соответствии с требованиями, установленными законодательством об электронной подписи.
9.16 Согласие субъектов на предоставление их персональных данных не требуется при получении Оператором в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов следствия и дознания, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию в соответствии с компетенцией, предусмотренной законодательством.
Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.
9.17 В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, Оператор обязана получить согласие субъекта на предоставление его персональных данных и предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.
9.18 Согласие на обработку персональных данных, обработка которых не установлена требованиями законодательства РФ или не требуется для исполнения договора с Оператором, стороной которого является субъект персональных данных, может быть отозвано субъектом персональных данных.
9.19 Во всех случаях обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных», возлагается на Оператора.
10. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных.
10.2 Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством меры по защите своих прав.
10.3 Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Компании, обратившись в уполномоченный орган по защите прав субъектов персональных данных, или в судебном порядке.
10.4 Субъект персональных данных имеет право на защиту своих прав и законных интересов, обжаловать неправомерные действия или бездействие Оператора при обработке его персональных данных, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
11. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1 Защита персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований законодательства в области защиты персональных данных.
11.2 Правовые меры включают в себя:
- разработку локальных актов Компании, реализующих требования законодательства, в том числе Политики в отношении обработки персональных данных;
- отказ от любых способов обработки персональных данных, не соответствующих целям, заранее предопределённым Оператором.
- Организационные меры включают в себя:
- назначение лица, ответственного за организацию обработки персональных данных;
- назначение лица, ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных;
- ограничение состава работников Компании, имеющих доступ к персональным данным, и организацию разрешительной системы доступа к ним;
- ознакомление работников Компании с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, с Политикой, другими локальными актами Оператора по вопросам обработки персональных данных;
- обучение всех категорий работников, непосредственно осуществляющих обработку персональных данных, правилам работы с ними и обеспечения безопасности обрабатываемых данных;
- определение в должностных инструкциях работников Компании обязанностей по обеспечению безопасности обработки персональных данных и ответственности за нарушение установленного порядка;
- регламентацию процессов обработки персональных данных;
- организацию учёта материальных носителей персональных данных и их хранения, обеспечивающих предотвращение хищения, подмены, несанкционированного копирования и уничтожения;
- определение типа угроз безопасности персональных данных, актуальных для информационных систем персональных данных, с учётом оценки возможного вреда субъектам персональных данных, который может быть причинён в случае нарушения требований безопасности, определение уровня защищённости персональных данных и требований к защите персональных данных при их обработке в информационных системах, исполнение которых обеспечивает установленные уровни защищённости персональных данных;
- определение угроз безопасности персональных данных при их обработке в информационных системах, формирование на их основе модели (моделей) угроз;
- размещение технических средств обработки персональных данных в пределах охраняемой территории Компании или дата-центра;
- ограничение допуска посторонних лиц в помещения Компании и дата-центра, недопущение их нахождения в помещениях, где ведётся работа с персональными данными и размещаются технические средства их обработки, без контроля со стороны работников Компании или дата-центра.
- Технические меры включают в себя:
- разработку на основе модели угроз системы защиты персональных данных для установленных Правительством Российской Федерации уровней защищённости персональных данных при их обработке в информационных системах;
- использование для нейтрализации актуальных угроз средств защиты информации, прошедших процедуру оценки соответствия;
- оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;
- реализацию разрешительной системы доступа работников к персональным данным, обрабатываемым в информационных системах, и программно-аппаратным и программным средствам защиты информации, предусматривающей разграничение прав доступа пользователей;
- регистрацию и учёт действий c персональными данными пользователей информационных систем, где обрабатываются персональные данные;
- защиту персональных данных, пересылаемых по электронной почте, путём использования защищённых паролем, соответствующем требованиям политики парольной защиты, архивов, содержащих персональные данные (файлов форматов zip, rar и т. п.);
- ограничение программной среды;
- выявление вредоносного программного обеспечения (применение антивирусных программ) на всех узлах информационной сети Компании, обеспечивающих соответствующую техническую возможность;
- безопасное межсетевое взаимодействие (применение межсетевого экранирования);
- идентификацию и проверку подлинности пользователя (аутентификацию) при входе в информационную систему по паролю;
- контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации;
- обнаружение вторжений в информационную систему Компании, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
- принятие мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (систему резервного копирования и восстановления персональных данных);
- периодическое проведение мониторинга действий пользователей, разбирательств по фактам нарушения требований безопасности персональных данных;
- контроль за выполнением настоящих требований.
12.1 Иные обязанности и права Компании как оператора персональных данных и лица, организующего их обработку по поручению других операторов, определяются законодательством Российской Федерации в области персональных данных.
12.2 Должностные лица и работники Компании, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.