Утверждено
Приказом № 4 от 14.02.2026г.
Приказом № 4 от 14.02.2026г.
Политика обработки персональных данных в Обществе с ограниченной ответственностью «ЮПЭЙ»
г. Санкт-Петербург, 2026
1. Общие положения
1.1 Политика обработки персональных данных в Обществе с ограниченной ответственностью «ЮПЭЙ» (далее - Политика) разработана в соответствии с действующим законодательством Российской Федерации о персональных данных и нормативно-правовыми актами исполнительных органов государственной власти по вопросам, касающимся обработки персональных данных, в том числе при их обработке в информационных системах ПДн (далее - иСпДн), и определяет принципы и условия обработки персональных данных (далее - ПДн), меры по защите ПДн.
1.2 Политика разработана в целях реализации требований законодательства в области обработки и обеспечения безопасности персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных Обществом с ограниченной ответственностью «ЮПЭЙ» (место нахождения: 195196, г. Санкт-Петербург, вн.тер.г. муниципальный округ Малая Охта, ул. Таллинская, д. 6В лит. А, оф. 507, ОГРН 1257800013437, ИНН 7806626300) (далее - Общество).
1.3 Политика устанавливает:
- цели обработки персональных данных;
- перечень персональных данных, обрабатываемых Обществом;
- категории субъектов, персональные данные которых обрабатываются Обществом;
- порядок и условия обработки персональных данных;
- порядок актуализации, исправления, удаления, уничтожения персональных данных;
- порядок рассмотрения запросов субъектов персональных данных и ответов на них;
- участников системы управления процессом обработки персональных данных в Обществе;
- основные подходы к системе управления процессом обработки персональных данных.
1.4 Положения настоящей Политики являются обязательными для исполнения всеми Работниками Общества, имеющими доступ к персональным данным.
1.5 Политика является общедоступным документом и размещается на сайте Общества.
1.6 Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению персональных данных, осуществляемых с использованием средств автоматизации и без использования таких средств.
2. Термины и определения
Административно-хозяйственная деятельность - процессы, направленные на текущее обеспечение деятельности Общества товарно-материальными ценностями (осуществление закупок канцтоваров, офисного оборудования, расходных материалов, хозяйственных товаров, услуг связи и т.п.); на организацию документооборота; на организацию эксплуатации помещений; на организацию рабочего процесса.
Близкие родственники - супруги, дети и иные лица, чьи контактные данные указаны в анкете Кандидата.
Иные физические лица - физические лица, информация о которых, включая персональные данные, получена Обществом в целях исполнения обязательств в рамках договоров с Контрагентами, Плетельщиками, Пользователями.
Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Кандидат - физическое лицо, претендующее на вакантную должность в Обществе, персональные данные которого приняты Обществом.
Контрагент - юридическое лицо, индивидуальный предприниматель, а также физическое лицо, занимающееся в установленном законодательством Российской Федерации порядке частной практикой, заключившее или намеревающееся заключить с Обществом гражданско-правовой договор.
Конфиденциальность персональных данных – обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания
Обработка персональных данных - любое действие (операция) Общества или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
Платёжный сервис – автоматизированная система, представляющая собой совокупность информационно-коммуникационных технологий (программные модули, приложения и иные каналы удалённого обслуживания), с помощью которых обеспечивается приём распоряжения Пользователя на совершение операции безналичной оплаты услуг.
Персональные данные - любая информация, относящаяся к прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном ФЗ «О персональных данных».
Пользователь – физическое лицо, использующее Платёжный сервис для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности и частной практики, которое заключило с Обществом соглашение об использовании Платёжного сервиса путём присоединения к его условиям, и персональные данные которого переданы Обществу.
Представитель Контрагента – физическое лицо, персональные данные которого переданы Обществу, входящее в органы управления Контрагента или являющееся владельцем/ учредителем/акционером/участником Контрагента, или действующее от имени контрагента на основании доверенности.
Работник – физическое лицо, заключившее с Обществом трудовой договор.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределённому кругу лиц.
Субъект персональных данных – физическое лицо, которое может быть прямо или косвенно определено с помощью персональных данных.
Cookies – небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает вебсерверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.
IP-адрес – уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.
3. Принципы обработки персональных данных
3.1 Обработка персональных данных в Обществе осуществляется в соответствии со следующими принципами:
- Обработка персональных данных осуществляется на законной и справедливой основе.
- Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
- Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместных между собой.
- Обработке подлежат только те персональные данные, которые отвечают целям их обработки.
- Содержание и объем обрабатываемых персональных данных, способы обработки персональных данных соответствуют заявленным целям обработки.
- Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки.
- При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки. Общество принимает необходимые меры (либо обеспечивает их принятие) по удалению или уточнению неполных или неточных данных.
- Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4. Условия обработки персональных данных
4.1 Обработка персональных данных осуществляется с соблюдением принципов и правил, установленных ФЗ «О персональных данных». Обработка персональных данных в Обществе допускается в следующих случаях:
- Обработка персональных данных осуществляется с согласия субъекта персональных данных;
- Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
- Обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
- Обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- Обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
- Обработка персональных данных необходима для исполнения договора, стороной которого, либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- Обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации, либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
- Обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных. Исключение составляет обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации;
- Обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях;
- Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
- Обработка персональных данных объектов государственной охраны и членов их семей осуществляется с учетом особенностей, предусмотренных федеральным законом.
4.2 В следующих случаях (за исключением специально обговоренных в ФЗ «О персональных данных» случаев) требуется письменное согласие субъекта на обработку его ПДн:
- Включение ПДн субъекта в общедоступные источники ПДн;
- Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости.
- Обработка биометрических ПДн (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных); - - Принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы.
4.3 При отсутствии необходимости получения согласия субъекта на обработку ПДн в письменной форме, установленной ФЗ «О персональных данных», согласие субъекта может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт получения согласия форме, в том числе в электронном виде (путем проставления галочки в соответствующем окне).
4.4 Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее – поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящей Политикой и ФЗ «О персональных данных».
4.5 В случае, если Общество поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Общество. Лицо, осуществляющее обработку персональных данных по поручению Общества, несет ответственность перед Обществом.
4.6 Общество и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
4.7 Распространение ПДн осуществляется на основании согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения. Данное согласие оформляется отдельно от иных согласий субъекта персональных данных.
4.8 Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено Обществу:
- непосредственно;
- с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
4.9 Общество обязано в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.
4.10 В случае, если Общество осуществляет обработку персональных данных субъекта, которые он раскрыл неопределенному кругу лиц, и субъект не дал Обществу согласие на обработку персональных данных, то на Общество ложится обязанность доказывания законности последующего распространения или иной обработки таких персональных данных.
4.11 Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не применяются для случаев обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.
4.12 Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных.
5. Права субъекта персональных данных
5.1 Субъект персональных данных вправе требовать от Общества уточнения своих персональных данных, их блокирования или уничтожения в случаях, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.2 Субъект персональных данных имеет право потребовать прекращения передачи (распространения, предоставления, доступа) персональных данных, разрешенных субъектом персональных данных для распространения ранее.
5.3 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- Подтверждение факта обработки персональных данных Обществом;
- Правовые основания и цели обработки персональных данных;
- Цели и применяемые в Обществе способы обработки персональных данных;
- Наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании ФЗ «О персональных данных»;
- Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен ФЗ «О персональных данных»;
- Сроки обработки персональных данных, в том числе сроки их хранения;
- Порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ «О персональных данных»;
- Информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
- Иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами.
6. Обязанности Общества
6.1 В соответствии с требованиями ФЗ «О персональных данных» Общество обязано:
- Предоставлять субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставить отказ;
- По требованию субъекта ПДн уточнять обрабатываемые ПДн, блокировать или удалять, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. А также обеспечить блокирование, удаление, в случае если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора;
- Уведомлять субъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от субъекта ПДн (за исключением случаев, когда субъект ПДн уже уведомлен об осуществлении обработки его персональных данных соответствующим оператором);
- В случае достижения цели обработки персональных данных, незамедлительно прекратить обработку персональных данных и уничтожить либо обезличить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами. Либо обеспечить уничтожение, обезличивание, в случае если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора. Уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;
- В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных, прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и субъектом персональных данных. Либо обеспечить прекращение обработки ПДн и их уничтожение, в случае если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора. Об уничтожении персональных данных Общество обязано уведомить субъекта персональных данных;
- В случае поступления требования субъекта о прекращении обработки персональных данных в целях продвижения товаров, работ, услуг на рынке немедленно прекратить обработку
персональных данных. Либо обеспечить прекращение обработки ПДн, в случае если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора;
- В случае поступления требования субъекта персональных данных о прекращении передачи (распространения, предоставления, доступа) персональных данных, разрешенных субъектом персональных данных для распространения ранее, Общество обязано в течение трех рабочих дней с момента получения требования субъекта персональных данных прекратить передачу (распространение, предоставление, доступ) этих персональных данных;
- При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, отдельно указанных в ФЗ «О персональных данных».
7. Цели обработки персональных данных
7.1 Обработка Обществом персональных данных ограничивается достижением конкретных заранее определённых и законных целей. Общество не осуществляет обработку персональных данных, несовместимую с целями сбора персональных данных.
7.2 Общество осуществляет обработку персональных данных в целях:
7.2.1 В отношении Представителей контрагентов и Пользователей (физических лиц), а также пользователей сайта:
- заключения договоров, исполнения и прекращения договоров с Обществом, подписания договоров на бумаге, регистрации в личных кабинетах и отражения истории взаимодействия в базах данных;
- приобретения и оплаты Пользователем услуг, предоставляемых Обществом и его Контрагентами, организации расчетов, приема платежей, приема и передачи распоряжений, требований;
- проведения взаиморасчетов, выставления счетов, актов, других бухгалтерских документов;
- информационного обмена с Обществом, направления информации, необходимой по закону, обработка обращений, запросов, заявлений, заявок, анкет Пользователей и Контрагентов;
- осуществления связи с Пользователем для предоставления информации об исполнении соглашение об использовании Платежного сервиса, в том числе для организации почтовых рассылок, рассылок коротких текстовых сообщений (SMS), рассылок по электронной почте в адрес Пользователя выписок по операциям, а также для передачи информационных сообщений об услугах Общества и его Контрагентов, оказываемых в рамках соглашения об использовании Платежного сервиса;
- предоставления Обществом услуг по созданию и хранению электронных документов и их копий;
- проведения Обществом акций, опросов, исследований;
- предоставления Субъекту персональных данных информации об оказываемых Обществом услугах, о разработке новых продуктов и услуг.
7.2.2 В отношении работников (включая бывших работников) и кандидатов на вакантные должности:
- обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
- заключения, исполнения и прекращения трудовых договоров, регулирования трудовых и иных, непосредственно связанных с ними отношений;
- ведения кадрового делопроизводства, включая учет рабочего времени, отпусков, командировок, поощрений и взысканий Работников Общества;
- начисления и выплаты заработной платы, компенсаций, пособий, а также осуществления налоговых отчислений и иных обязательных платежей в соответствии с законодательством;
- обеспечения охраны труда и безопасности Работников, контроля за соблюдением правил внутреннего трудового распорядка, контроля доступа на территорию Общества;
- привлечения и отбора Кандидатов на работу в Обществе;
- формирования статистической отчетности;
- обеспечения соблюдения трудового законодательства.
7.2.3 Для всех категорий субъектов:
- исполнения требований законодательства, судопроизводства, идентификации Пользователей, Контрагентов, представителей, бенефициаров, выгодоприобретателей, предоставления информации о платежах в государственные информационные системы, предоставления любых видов отчетности, предусмотренной законодательством, и прочее;
- обеспечение безопасности и функционирования информационных систем и инфраструктуры Общества;
- выявления противоправных и/или запрещенных действий при использовании сервиса, случаев мошенничества, хищения денежных средств, иных противоправных действий, предотвращения таких противоправных действий в дальнейшем и локализация последствий таких действий, оценки рисков сотрудничества, проверки достоверности предоставленных сведений.
- осуществления Обществом Административно-хозяйственной деятельности.
1.1 Политика обработки персональных данных в Обществе с ограниченной ответственностью «ЮПЭЙ» (далее - Политика) разработана в соответствии с действующим законодательством Российской Федерации о персональных данных и нормативно-правовыми актами исполнительных органов государственной власти по вопросам, касающимся обработки персональных данных, в том числе при их обработке в информационных системах ПДн (далее - иСпДн), и определяет принципы и условия обработки персональных данных (далее - ПДн), меры по защите ПДн.
1.2 Политика разработана в целях реализации требований законодательства в области обработки и обеспечения безопасности персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных Обществом с ограниченной ответственностью «ЮПЭЙ» (место нахождения: 195196, г. Санкт-Петербург, вн.тер.г. муниципальный округ Малая Охта, ул. Таллинская, д. 6В лит. А, оф. 507, ОГРН 1257800013437, ИНН 7806626300) (далее - Общество).
1.3 Политика устанавливает:
- цели обработки персональных данных;
- перечень персональных данных, обрабатываемых Обществом;
- категории субъектов, персональные данные которых обрабатываются Обществом;
- порядок и условия обработки персональных данных;
- порядок актуализации, исправления, удаления, уничтожения персональных данных;
- порядок рассмотрения запросов субъектов персональных данных и ответов на них;
- участников системы управления процессом обработки персональных данных в Обществе;
- основные подходы к системе управления процессом обработки персональных данных.
1.4 Положения настоящей Политики являются обязательными для исполнения всеми Работниками Общества, имеющими доступ к персональным данным.
1.5 Политика является общедоступным документом и размещается на сайте Общества.
1.6 Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению персональных данных, осуществляемых с использованием средств автоматизации и без использования таких средств.
2. Термины и определения
Административно-хозяйственная деятельность - процессы, направленные на текущее обеспечение деятельности Общества товарно-материальными ценностями (осуществление закупок канцтоваров, офисного оборудования, расходных материалов, хозяйственных товаров, услуг связи и т.п.); на организацию документооборота; на организацию эксплуатации помещений; на организацию рабочего процесса.
Близкие родственники - супруги, дети и иные лица, чьи контактные данные указаны в анкете Кандидата.
Иные физические лица - физические лица, информация о которых, включая персональные данные, получена Обществом в целях исполнения обязательств в рамках договоров с Контрагентами, Плетельщиками, Пользователями.
Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Кандидат - физическое лицо, претендующее на вакантную должность в Обществе, персональные данные которого приняты Обществом.
Контрагент - юридическое лицо, индивидуальный предприниматель, а также физическое лицо, занимающееся в установленном законодательством Российской Федерации порядке частной практикой, заключившее или намеревающееся заключить с Обществом гражданско-правовой договор.
Конфиденциальность персональных данных – обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания
Обработка персональных данных - любое действие (операция) Общества или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
Платёжный сервис – автоматизированная система, представляющая собой совокупность информационно-коммуникационных технологий (программные модули, приложения и иные каналы удалённого обслуживания), с помощью которых обеспечивается приём распоряжения Пользователя на совершение операции безналичной оплаты услуг.
Персональные данные - любая информация, относящаяся к прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном ФЗ «О персональных данных».
Пользователь – физическое лицо, использующее Платёжный сервис для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности и частной практики, которое заключило с Обществом соглашение об использовании Платёжного сервиса путём присоединения к его условиям, и персональные данные которого переданы Обществу.
Представитель Контрагента – физическое лицо, персональные данные которого переданы Обществу, входящее в органы управления Контрагента или являющееся владельцем/ учредителем/акционером/участником Контрагента, или действующее от имени контрагента на основании доверенности.
Работник – физическое лицо, заключившее с Обществом трудовой договор.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределённому кругу лиц.
Субъект персональных данных – физическое лицо, которое может быть прямо или косвенно определено с помощью персональных данных.
Cookies – небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает вебсерверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.
IP-адрес – уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.
3. Принципы обработки персональных данных
3.1 Обработка персональных данных в Обществе осуществляется в соответствии со следующими принципами:
- Обработка персональных данных осуществляется на законной и справедливой основе.
- Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
- Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместных между собой.
- Обработке подлежат только те персональные данные, которые отвечают целям их обработки.
- Содержание и объем обрабатываемых персональных данных, способы обработки персональных данных соответствуют заявленным целям обработки.
- Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки.
- При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки. Общество принимает необходимые меры (либо обеспечивает их принятие) по удалению или уточнению неполных или неточных данных.
- Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4. Условия обработки персональных данных
4.1 Обработка персональных данных осуществляется с соблюдением принципов и правил, установленных ФЗ «О персональных данных». Обработка персональных данных в Обществе допускается в следующих случаях:
- Обработка персональных данных осуществляется с согласия субъекта персональных данных;
- Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
- Обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
- Обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- Обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
- Обработка персональных данных необходима для исполнения договора, стороной которого, либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- Обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации, либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
- Обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных. Исключение составляет обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации;
- Обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях;
- Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
- Обработка персональных данных объектов государственной охраны и членов их семей осуществляется с учетом особенностей, предусмотренных федеральным законом.
4.2 В следующих случаях (за исключением специально обговоренных в ФЗ «О персональных данных» случаев) требуется письменное согласие субъекта на обработку его ПДн:
- Включение ПДн субъекта в общедоступные источники ПДн;
- Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости.
- Обработка биометрических ПДн (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных); - - Принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы.
4.3 При отсутствии необходимости получения согласия субъекта на обработку ПДн в письменной форме, установленной ФЗ «О персональных данных», согласие субъекта может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт получения согласия форме, в том числе в электронном виде (путем проставления галочки в соответствующем окне).
4.4 Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее – поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящей Политикой и ФЗ «О персональных данных».
4.5 В случае, если Общество поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Общество. Лицо, осуществляющее обработку персональных данных по поручению Общества, несет ответственность перед Обществом.
4.6 Общество и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
4.7 Распространение ПДн осуществляется на основании согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения. Данное согласие оформляется отдельно от иных согласий субъекта персональных данных.
4.8 Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено Обществу:
- непосредственно;
- с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
4.9 Общество обязано в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.
4.10 В случае, если Общество осуществляет обработку персональных данных субъекта, которые он раскрыл неопределенному кругу лиц, и субъект не дал Обществу согласие на обработку персональных данных, то на Общество ложится обязанность доказывания законности последующего распространения или иной обработки таких персональных данных.
4.11 Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не применяются для случаев обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.
4.12 Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных.
5. Права субъекта персональных данных
5.1 Субъект персональных данных вправе требовать от Общества уточнения своих персональных данных, их блокирования или уничтожения в случаях, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.2 Субъект персональных данных имеет право потребовать прекращения передачи (распространения, предоставления, доступа) персональных данных, разрешенных субъектом персональных данных для распространения ранее.
5.3 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- Подтверждение факта обработки персональных данных Обществом;
- Правовые основания и цели обработки персональных данных;
- Цели и применяемые в Обществе способы обработки персональных данных;
- Наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании ФЗ «О персональных данных»;
- Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен ФЗ «О персональных данных»;
- Сроки обработки персональных данных, в том числе сроки их хранения;
- Порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ «О персональных данных»;
- Информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
- Иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами.
6. Обязанности Общества
6.1 В соответствии с требованиями ФЗ «О персональных данных» Общество обязано:
- Предоставлять субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставить отказ;
- По требованию субъекта ПДн уточнять обрабатываемые ПДн, блокировать или удалять, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. А также обеспечить блокирование, удаление, в случае если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора;
- Уведомлять субъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от субъекта ПДн (за исключением случаев, когда субъект ПДн уже уведомлен об осуществлении обработки его персональных данных соответствующим оператором);
- В случае достижения цели обработки персональных данных, незамедлительно прекратить обработку персональных данных и уничтожить либо обезличить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами. Либо обеспечить уничтожение, обезличивание, в случае если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора. Уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;
- В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных, прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и субъектом персональных данных. Либо обеспечить прекращение обработки ПДн и их уничтожение, в случае если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора. Об уничтожении персональных данных Общество обязано уведомить субъекта персональных данных;
- В случае поступления требования субъекта о прекращении обработки персональных данных в целях продвижения товаров, работ, услуг на рынке немедленно прекратить обработку
персональных данных. Либо обеспечить прекращение обработки ПДн, в случае если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора;
- В случае поступления требования субъекта персональных данных о прекращении передачи (распространения, предоставления, доступа) персональных данных, разрешенных субъектом персональных данных для распространения ранее, Общество обязано в течение трех рабочих дней с момента получения требования субъекта персональных данных прекратить передачу (распространение, предоставление, доступ) этих персональных данных;
- При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, отдельно указанных в ФЗ «О персональных данных».
7. Цели обработки персональных данных
7.1 Обработка Обществом персональных данных ограничивается достижением конкретных заранее определённых и законных целей. Общество не осуществляет обработку персональных данных, несовместимую с целями сбора персональных данных.
7.2 Общество осуществляет обработку персональных данных в целях:
7.2.1 В отношении Представителей контрагентов и Пользователей (физических лиц), а также пользователей сайта:
- заключения договоров, исполнения и прекращения договоров с Обществом, подписания договоров на бумаге, регистрации в личных кабинетах и отражения истории взаимодействия в базах данных;
- приобретения и оплаты Пользователем услуг, предоставляемых Обществом и его Контрагентами, организации расчетов, приема платежей, приема и передачи распоряжений, требований;
- проведения взаиморасчетов, выставления счетов, актов, других бухгалтерских документов;
- информационного обмена с Обществом, направления информации, необходимой по закону, обработка обращений, запросов, заявлений, заявок, анкет Пользователей и Контрагентов;
- осуществления связи с Пользователем для предоставления информации об исполнении соглашение об использовании Платежного сервиса, в том числе для организации почтовых рассылок, рассылок коротких текстовых сообщений (SMS), рассылок по электронной почте в адрес Пользователя выписок по операциям, а также для передачи информационных сообщений об услугах Общества и его Контрагентов, оказываемых в рамках соглашения об использовании Платежного сервиса;
- предоставления Обществом услуг по созданию и хранению электронных документов и их копий;
- проведения Обществом акций, опросов, исследований;
- предоставления Субъекту персональных данных информации об оказываемых Обществом услугах, о разработке новых продуктов и услуг.
7.2.2 В отношении работников (включая бывших работников) и кандидатов на вакантные должности:
- обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
- заключения, исполнения и прекращения трудовых договоров, регулирования трудовых и иных, непосредственно связанных с ними отношений;
- ведения кадрового делопроизводства, включая учет рабочего времени, отпусков, командировок, поощрений и взысканий Работников Общества;
- начисления и выплаты заработной платы, компенсаций, пособий, а также осуществления налоговых отчислений и иных обязательных платежей в соответствии с законодательством;
- обеспечения охраны труда и безопасности Работников, контроля за соблюдением правил внутреннего трудового распорядка, контроля доступа на территорию Общества;
- привлечения и отбора Кандидатов на работу в Обществе;
- формирования статистической отчетности;
- обеспечения соблюдения трудового законодательства.
7.2.3 Для всех категорий субъектов:
- исполнения требований законодательства, судопроизводства, идентификации Пользователей, Контрагентов, представителей, бенефициаров, выгодоприобретателей, предоставления информации о платежах в государственные информационные системы, предоставления любых видов отчетности, предусмотренной законодательством, и прочее;
- обеспечение безопасности и функционирования информационных систем и инфраструктуры Общества;
- выявления противоправных и/или запрещенных действий при использовании сервиса, случаев мошенничества, хищения денежных средств, иных противоправных действий, предотвращения таких противоправных действий в дальнейшем и локализация последствий таких действий, оценки рисков сотрудничества, проверки достоверности предоставленных сведений.
- осуществления Обществом Административно-хозяйственной деятельности.
8. Перечень персональных данных, категории субъектов и цели обработки персональных данных.
8.1 Общество осуществляет обработку персональных данных следующих категорий Субъектов персональных данных:
8.1.1 Кандидаты.
В отношении лиц, указанных в п. 8.1.1. Общество обрабатывает следующие персональные данные: фамилия, имя, отчество; пол; гражданство; дата и место рождения; адрес места жительства, контактные данные (телефон, адрес электронной почты); сведения об образовании; сведения о трудовой деятельности; квалификации; данные документа, удостоверяющего личность, наличие (отсутствие) судимости и (или) факта уголовного преследования, иные самостоятельно представленные кандидатом персональные данные.
Персональные данные лиц, указанных в п. 8.1.1., обрабатываются в целях: исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима.
8.1.2 Работники, бывшие Работники
В отношении лиц, указанных в п. 8.1.2. Общество обрабатывает следующие персональные данные: фамилия, имя, отчество; пол; гражданство; дата и место рождения; паспортные данные; адрес регистрации по месту жительства; адрес фактического проживания; контактные данные
(телефон, адрес электронной почты); индивидуальный номер налогоплательщика (ИНН); страховой номер индивидуального лицевого счета (СНИЛС); сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации; семейное положение, наличие детей, родственные связи, иждивенцах; сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий; данные о регистрации брака; сведения о воинском учете; сведения об инвалидности; сведения об удержании алиментов; сведения о доходе с предыдущего места работы; регистрационный номер личного автомобиля; иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
Персональные данные лиц, указанных в п. 8.1.2., обрабатываются в целях: исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима.
8.1.3 Близкие родственники Работников
В отношении лиц, указанных в п. 8.1.3. Общество обрабатывает следующие персональные данные: фамилия, имя, отчество, степень родства, год рождения, иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
Персональные данные лиц, указанных в п. 8.1.3., обрабатываются в целях: исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений.
8.1.4 Физические лица, осуществляющие выполнение работ (оказание услуг) и заключившие с Обществом договоры гражданско-правового характера
В отношении лиц, указанных в п. 8.1.4. Общество обрабатывает следующие персональные данные: фамилия, имя, отчество; дата и место рождения; паспортные данные; адрес регистрации по месту жительства; контактные данные (телефон, адрес электронной почты); индивидуальный номер налогоплательщика (ИНН); номер расчетного (текущего) счета; иные персональные данные, предоставляемые физическими лицами, необходимые для заключения и исполнения договоров.
Персональные данные лиц, указанных в п. 8.1.4., обрабатываются в целях: осуществления деятельности в соответствии с уставом Общества, заключения и исполнения договоров, осуществления пропускного режима.
8.1.5 Физические лица, входящие в органы управления Общества, кроме Работников.
В отношении лиц, указанных в п. 8.1.5. Общество обрабатывает следующие персональные данные: фамилия, имя, отчество; дата и место рождения; паспортные данные; адрес регистрации по месту жительства; адрес фактического проживания, контактные данные (телефон, адрес электронной почты).
Персональные данные лиц, указанных в п. 8.1.5., обрабатываются в целях: осуществления деятельности в соответствии с уставом Общества, осуществления прав и обязанностей в сфере корпоративного управления, осуществления пропускного режима.
8.1.6 Физические лица, представляющие интересы Контрагентов (потенциальных Контрагентов) Общества (Представители Контрагентов)
В отношении лиц, указанных в п. 8.1.6. Общество обрабатывает следующие персональные данные: фамилия, имя, отчество; паспортные данные; контактные данные (телефон, адрес электронной почты); ОГРНИП (для ИП), банковские реквизиты, адрес регистрации (для ИП); логин; занимаемая должность; наименование организации-контрагента (для представителей); информация о действиях, совершаемых на сайте Общества; статистические, технические, функциональные типы данных (например, тип выполняемого пользователем на сервисе действия, дата и время выполнения действия, URL страницы, тип пользовательского устройства, IP-адрес и т.д.); информация, автоматически передаваемая устройством Контрагентов/ Представителей Контрагентов в результате технологического взаимодействия с сайтом, в т.ч. сookies; иная информация, предоставляемая лицом самостоятельно в процессе коммуникации с Обществом; иные персональные данные, предоставляемые физическими лицами Представителями контрагентов, необходимые для заключения и исполнения договоров.
Персональные данные лиц, указанных в п. 4.1.6., обрабатываются в целях: осуществления деятельности в соответствии с уставом Общества, заключения и исполнения договоров, осуществления пропускного режима
8.1.7 Физические лица, являющиеся Пользователями, их представители, бенефициары и выгодоприобретатели и Иные физические лица, информация о которых, получена Обществом в целях исполнения обязательств в рамках договоров с Пользователями.
В отношении лиц, указанных в п. 8.1.7. Общество обрабатывает следующие персональные данные: фамилия, имя, отчество; адрес регистрации по месту жительства; адрес фактического проживания, контактные данные (телефон, адрес электронной почты); данные документа, удостоверяющего личность; номер электронного средства платежа; информация о действиях Пользователя в Платежном сервисе; информация о получателях/отправителях не являющихся Пользователями; информация об участиях Пользователя в программах лояльности Общества и и (или) его Контрагентов; идентификаторы Пользователя в базах данных партнеров Общества; информация о действиях, совершаемых на сайте Общества; статистические, технические, функциональные типы данных (например, тип выполняемого пользователем на сервисе действия, дата и время выполнения действия, URL страницы, тип пользовательского устройства, IP-адрес и т.д.); информация, автоматически передаваемая устройством Пользователя в результате технологического взаимодействия с сайтом Общества, в т.ч. сookies; иная информация, предоставляемая лицом самостоятельно в процессе коммуникации с Обществом.
Персональные данные лиц, указанных в п. 8.1.7., обрабатываются в целях: осуществления деятельности в соответствии с уставом Общества, заключения и исполнения договоров с Пользователями.
8.1.8 Физические лица, являющиеся Пользователями и Иные физические лица, информация о которых, получена Обществом в процессе просмотра рекламных блоков и при посещении страниц, на которых установлен статистический скрипт системы ("пиксель").
В отношении лиц, указанных в п. 8.1.8. Общество обрабатывает следующие персональные данные: IP-адрес, информация из cookies, информация о браузере (или иной программе, которая осуществляет доступ к показу рекламы), время доступа, адрес страницы, на которой расположен рекламный блок, реферер (адрес предыдущей страницы).
8.2 Общество не осуществляет обработку специальных категорий персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни, судимости физических лиц, если иное не установлено законодательством Российской Федерации.
8.3 Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Обществом для установления личности Субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме Субъекта персональных данных.
8.4 Отключение cookies может повлечь невозможность доступа к частям сайта Сервиса платежей, требующим авторизации.
8.5 Общество осуществляет сбор статистики об IP-адресах своих посетителей. Данная информация используется с целью выявления и решения технических проблем, для контроля законности проводимых финансовых платежей.
8.6 Любая иная персональная информация неоговоренная выше (история платежей, операционные системы и т.д.) подлежит надежному хранению и нераспространению, за исключением случаев, предусмотренных действующим законодательством и настоящей Политикой.
9. Основные участники системы управления процессом обработки персональных данных
9.1 В целях осуществления эффективного управления процессом обработки персональных данных определены основные его участники.
9.1.1 Генеральный директор Общества:
- определяет и утверждает политику Общества в отношении обработки персональных данных.
9.1.2 Лицо, ответственное за организацию обработки и защиту персональных данных, назначается приказом генерального директора Общества и выполняет следующие функции: - разрабатывает, организует и контролирует процесс обработки персональных данных (осуществляемый с использованием средств автоматизации или без использования таких средств, в том числе на бумажных носителях) в соответствии с Законодательством о персональных данных, настоящей Политикой, внутренними нормативными документами Общества;
- разрабатывает и представляет для утверждения генеральному директору общества внутренние нормативные документы, касающиеся вопросов обработки персональных данных, требований к защите персональных данных;
- организует доведение и (или) доводит до сведения Работников Общества положений законодательства о персональных данных, настоящей Политики, внутренних нормативных документов Общества по вопросам обработки персональных данных, требований к защите персональных данных;
- осуществляет анализ, оценку и прогноз рисков, связанных с обработкой персональных данных в Обществе, выработку мер по снижению рисков;
- осуществляет оценку влияния процессов на права и свободы Субъектов персональных данных;
- осуществляет анализ автоматизированных систем и процессов обработки персональных данных на предмет соответствия установленным обязательным требованиям в области обработки и защиты персональных данных;
- осуществляет ведение учета процедур и средств обработки персональных данных;
- осуществляет определение угроз безопасности персональных данных при их обработке;
- осуществляет организацию и контроль уровня защищённости информационных систем персональных данных;
- осуществляет оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;
- разрабатывает внутренние процедуры, направленные на обеспечение безопасности и защиты персональных данных;
- организует и осуществляет контроль соблюдения Обществом и его Работниками законодательства о персональных данных, настоящей Политики, внутренних нормативных документов Общества, требований к защите персональных данных;
- осуществляет взаимодействие с органами государственной власти по вопросам защиты персональных данных;
- осуществляет иные функции, предусмотренные для лица, ответственного за организацию обработки персональных данных и защиту персональных данных, законодательством о персональных данных.
9.1.3 Лицо, ответственное за прием и обработку обращений и запросов:
- организует прием и обработку обращений и запросов Субъектов персональных данных или их представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов.
9.1.4 Лицо, ответственное за организацию и ведение кадровой работы:
- организует учет и хранение документов, содержащих персональные данные Кандидатов, Работников и их близких родственников, бывших Работников Общества.
10. Организация системы управления процессом обработки персональных данных
10.1 Обработка персональных данных Субъекта персональных данных осуществляется с его согласия на обработку персональных данных, а также без такового, если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных, а также для заключения договора по инициативе Субъекта персональных данных или договора, по которому Субъект персональных данных будет являться выгодоприобретателем или поручителем или в иных случаях, предусмотренных законодательством о персональных данных.
10.2 Обработка специальной категории персональных данных, касающейся состояния здоровья Субъекта персональных данных, осуществляется с согласия Субъекта персональных данных на обработку своих персональных данных в письменной форме, а также без такового, если персональные данные сделаны общедоступными Субъектом персональных данных.
10.3 Общество вправе поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом. Такая Обработка персональных данных осуществляется только на основании договора, заключенного между Обществом и третьим лицом, в котором должны быть определены:
перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных;
цели обработки персональных данных;
обязанности третьего лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке, а также требования к защите обрабатываемых персональных данных.
10.4 Общество осуществляет передачу персональных данных государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.
10.5 Общество несет ответственность перед Субъектом персональных данных за действия лиц, которым поручает обработку персональных данных Субъекта персональных данных.
10.6 Доступ к обрабатываемым персональным данным предоставляется только тем Работникам Общества, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности.
10.7 Обработка персональных данных прекращается при достижении целей такой обработки, а также по истечении срока, предусмотренного законом, договором, или согласием Субъекта
персональных данных на обработку его персональных данных. При отзыве Субъектом персональных данных согласия на обработку его персональных данных, Общество вправе продолжить обработку персональных данных без согласия Субъекта персональных данных, если такая обработка предусмотрена договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, иным соглашением между Обществом и Субъектом персональных данных, либо если Общество вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных действующим законодательством Российской Федерации.
10.8 Обработка персональных данных осуществляется с соблюдением конфиденциальности, под которой понимается обязанность не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
10.9 Общество обеспечивает конфиденциальность персональных данных Субъекта персональных данных со своей стороны, со стороны своих Работников, имеющих доступ к персональным данным физических лиц, а также обеспечивает использование персональных данных вышеуказанными лицами исключительно в целях, соответствующих закону, договору или иному соглашению, заключенному с Субъектом персональных данных.
10.10 Обеспечение безопасности обрабатываемых персональных данных осуществляется Обществом в рамках единой комплексной системы организационно-технических и правовых мероприятий по защите информации, с учетом требований действующего законодательства о персональных данных.
11. Актуализация, исправление, удаление, уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
11.1 Подтверждение факта обработки персональных данных Обществом, правовые основания и цели обработки персональных данных, а также иные сведения, в соответствии с требованиями действующего законодательства, предоставляются Обществом Субъекту персональных данных или его представителю в сроки, установленные законодательством.
11.2 В предоставляемые сведения не включаются персональные данные, относящиеся к другим Субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
11.3 Запрос должен содержать:
- номер основного документа, удостоверяющего личность Субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие Субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом;
- подпись Субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с действующим законодательством.
Общество предоставляет Субъекту персональных данных или его представителю сведения, предусмотренные действующим законодательством, в той форме, в которой направлено соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
В случае несоответствия обращения (запроса) требованиями действующего законодательства Общество направляет Субъекту персональных данных или его представителю мотивированный отказ в предоставлении сведений.
Право Субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с требованиями действующего законодательства, в том числе если доступ Субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
11.4 В случае выявления неточных персональных данных при обращении Субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного государственного органа Общество осуществляет блокирование персональных данных, относящихся к этому Субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование
персональных данных не нарушает права и законные интересы Субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Общество на основании сведений, представленных Субъектом персональных данных или его представителем либо уполномоченным государственным органом, или иных необходимых документов уточняет персональные данные в течение 7 (семи) рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
11.5 В случае выявления неправомерной обработки персональных данных при обращении (запросе) Субъекта персональных данных или его представителя либо уполномоченного государственного органа Общество осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому Субъекту персональных данных, с момента такого обращения или получения запроса.
11.6 При выявлении Обществом, уполномоченным государственным органом или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Общество:
- в течение 24 часов - уведомляет уполномоченным государственным орган (Роскомнадзор) о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав Субъектов персональных данных, предполагаемом вреде, нанесенном правам Субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Обществом на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
- в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
11.7 Порядок уничтожения персональных данных Обществом.
11.7.1 Условия и сроки уничтожения персональных данных Обществом:
- достижение цели обработки персональных данных либо утрата необходимости достигать эту цель - в течение 30 дней;
- достижение максимальных сроков хранения документов, содержащих персональные данные, - в течение 30 дней;
- предоставление Субъектом персональных данных (его представителем) подтверждения
того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение 7 рабочих дней;
- отзыв Субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, - в течение 30 дней.
11.7.2 При достижении цели обработки персональных данных, а также в случае отзыва Субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект персональных данных;
- Общество не вправе осуществлять обработку без согласия Субъекта персональных данных на основаниях, предусмотренных действующим законодательством;
- иное не предусмотрено другим соглашением между Обществом и Субъектом персональных данных.
11.7.3 Уничтожение персональных данных осуществляет комиссия, созданная в соответствии с приказом генерального директора Общества.
11.7.4 Способы уничтожения персональных данных устанавливаются в локальных нормативных и/или распорядительных актах Общества.
12. Меры по обеспечению безопасности персональных данных при их обработке
12.1 При обработке персональных данных Общество принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
12.2 Общество назначает ответственного за организацию обработки персональных данных: Назначен сотрудник, ответственный за организацию обработки персональных данных
12.3 Обеспечение безопасности персональных данных достигается, в частности:
- Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- Учетом машинных носителей персональных данных;
- Обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
- Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета действий, совершаемых с персональными данными в информационной системе персональных данных;
- Ознакомление работников Общества, непосредственно осуществляющие обработку персональных данных, ознакомление с положениями законодательства Российской Федерации о персональных данных, в т. ч. требованиями к защите персональных данных, локальными актами по вопросам обработки персональных данных;
- Контролем доступа в помещения, в которых осуществляется обработка персональных данных;
- Контролем эффективности применяемых мер и средств по обеспечению безопасности персональных данных, а также контролем уровня защищенности информационных систем персональных данных.
13. Заключительные положения
13.1 Общество, его должностные лица и Работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки персональных данных физических лиц, а также за разглашение или незаконное использование персональных данных в соответствии с законодательством Российской Федерации.
8.1 Общество осуществляет обработку персональных данных следующих категорий Субъектов персональных данных:
8.1.1 Кандидаты.
В отношении лиц, указанных в п. 8.1.1. Общество обрабатывает следующие персональные данные: фамилия, имя, отчество; пол; гражданство; дата и место рождения; адрес места жительства, контактные данные (телефон, адрес электронной почты); сведения об образовании; сведения о трудовой деятельности; квалификации; данные документа, удостоверяющего личность, наличие (отсутствие) судимости и (или) факта уголовного преследования, иные самостоятельно представленные кандидатом персональные данные.
Персональные данные лиц, указанных в п. 8.1.1., обрабатываются в целях: исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима.
8.1.2 Работники, бывшие Работники
В отношении лиц, указанных в п. 8.1.2. Общество обрабатывает следующие персональные данные: фамилия, имя, отчество; пол; гражданство; дата и место рождения; паспортные данные; адрес регистрации по месту жительства; адрес фактического проживания; контактные данные
(телефон, адрес электронной почты); индивидуальный номер налогоплательщика (ИНН); страховой номер индивидуального лицевого счета (СНИЛС); сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации; семейное положение, наличие детей, родственные связи, иждивенцах; сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий; данные о регистрации брака; сведения о воинском учете; сведения об инвалидности; сведения об удержании алиментов; сведения о доходе с предыдущего места работы; регистрационный номер личного автомобиля; иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
Персональные данные лиц, указанных в п. 8.1.2., обрабатываются в целях: исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, осуществления пропускного режима.
8.1.3 Близкие родственники Работников
В отношении лиц, указанных в п. 8.1.3. Общество обрабатывает следующие персональные данные: фамилия, имя, отчество, степень родства, год рождения, иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
Персональные данные лиц, указанных в п. 8.1.3., обрабатываются в целях: исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений.
8.1.4 Физические лица, осуществляющие выполнение работ (оказание услуг) и заключившие с Обществом договоры гражданско-правового характера
В отношении лиц, указанных в п. 8.1.4. Общество обрабатывает следующие персональные данные: фамилия, имя, отчество; дата и место рождения; паспортные данные; адрес регистрации по месту жительства; контактные данные (телефон, адрес электронной почты); индивидуальный номер налогоплательщика (ИНН); номер расчетного (текущего) счета; иные персональные данные, предоставляемые физическими лицами, необходимые для заключения и исполнения договоров.
Персональные данные лиц, указанных в п. 8.1.4., обрабатываются в целях: осуществления деятельности в соответствии с уставом Общества, заключения и исполнения договоров, осуществления пропускного режима.
8.1.5 Физические лица, входящие в органы управления Общества, кроме Работников.
В отношении лиц, указанных в п. 8.1.5. Общество обрабатывает следующие персональные данные: фамилия, имя, отчество; дата и место рождения; паспортные данные; адрес регистрации по месту жительства; адрес фактического проживания, контактные данные (телефон, адрес электронной почты).
Персональные данные лиц, указанных в п. 8.1.5., обрабатываются в целях: осуществления деятельности в соответствии с уставом Общества, осуществления прав и обязанностей в сфере корпоративного управления, осуществления пропускного режима.
8.1.6 Физические лица, представляющие интересы Контрагентов (потенциальных Контрагентов) Общества (Представители Контрагентов)
В отношении лиц, указанных в п. 8.1.6. Общество обрабатывает следующие персональные данные: фамилия, имя, отчество; паспортные данные; контактные данные (телефон, адрес электронной почты); ОГРНИП (для ИП), банковские реквизиты, адрес регистрации (для ИП); логин; занимаемая должность; наименование организации-контрагента (для представителей); информация о действиях, совершаемых на сайте Общества; статистические, технические, функциональные типы данных (например, тип выполняемого пользователем на сервисе действия, дата и время выполнения действия, URL страницы, тип пользовательского устройства, IP-адрес и т.д.); информация, автоматически передаваемая устройством Контрагентов/ Представителей Контрагентов в результате технологического взаимодействия с сайтом, в т.ч. сookies; иная информация, предоставляемая лицом самостоятельно в процессе коммуникации с Обществом; иные персональные данные, предоставляемые физическими лицами Представителями контрагентов, необходимые для заключения и исполнения договоров.
Персональные данные лиц, указанных в п. 4.1.6., обрабатываются в целях: осуществления деятельности в соответствии с уставом Общества, заключения и исполнения договоров, осуществления пропускного режима
8.1.7 Физические лица, являющиеся Пользователями, их представители, бенефициары и выгодоприобретатели и Иные физические лица, информация о которых, получена Обществом в целях исполнения обязательств в рамках договоров с Пользователями.
В отношении лиц, указанных в п. 8.1.7. Общество обрабатывает следующие персональные данные: фамилия, имя, отчество; адрес регистрации по месту жительства; адрес фактического проживания, контактные данные (телефон, адрес электронной почты); данные документа, удостоверяющего личность; номер электронного средства платежа; информация о действиях Пользователя в Платежном сервисе; информация о получателях/отправителях не являющихся Пользователями; информация об участиях Пользователя в программах лояльности Общества и и (или) его Контрагентов; идентификаторы Пользователя в базах данных партнеров Общества; информация о действиях, совершаемых на сайте Общества; статистические, технические, функциональные типы данных (например, тип выполняемого пользователем на сервисе действия, дата и время выполнения действия, URL страницы, тип пользовательского устройства, IP-адрес и т.д.); информация, автоматически передаваемая устройством Пользователя в результате технологического взаимодействия с сайтом Общества, в т.ч. сookies; иная информация, предоставляемая лицом самостоятельно в процессе коммуникации с Обществом.
Персональные данные лиц, указанных в п. 8.1.7., обрабатываются в целях: осуществления деятельности в соответствии с уставом Общества, заключения и исполнения договоров с Пользователями.
8.1.8 Физические лица, являющиеся Пользователями и Иные физические лица, информация о которых, получена Обществом в процессе просмотра рекламных блоков и при посещении страниц, на которых установлен статистический скрипт системы ("пиксель").
В отношении лиц, указанных в п. 8.1.8. Общество обрабатывает следующие персональные данные: IP-адрес, информация из cookies, информация о браузере (или иной программе, которая осуществляет доступ к показу рекламы), время доступа, адрес страницы, на которой расположен рекламный блок, реферер (адрес предыдущей страницы).
8.2 Общество не осуществляет обработку специальных категорий персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни, судимости физических лиц, если иное не установлено законодательством Российской Федерации.
8.3 Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Обществом для установления личности Субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме Субъекта персональных данных.
8.4 Отключение cookies может повлечь невозможность доступа к частям сайта Сервиса платежей, требующим авторизации.
8.5 Общество осуществляет сбор статистики об IP-адресах своих посетителей. Данная информация используется с целью выявления и решения технических проблем, для контроля законности проводимых финансовых платежей.
8.6 Любая иная персональная информация неоговоренная выше (история платежей, операционные системы и т.д.) подлежит надежному хранению и нераспространению, за исключением случаев, предусмотренных действующим законодательством и настоящей Политикой.
9. Основные участники системы управления процессом обработки персональных данных
9.1 В целях осуществления эффективного управления процессом обработки персональных данных определены основные его участники.
9.1.1 Генеральный директор Общества:
- определяет и утверждает политику Общества в отношении обработки персональных данных.
9.1.2 Лицо, ответственное за организацию обработки и защиту персональных данных, назначается приказом генерального директора Общества и выполняет следующие функции: - разрабатывает, организует и контролирует процесс обработки персональных данных (осуществляемый с использованием средств автоматизации или без использования таких средств, в том числе на бумажных носителях) в соответствии с Законодательством о персональных данных, настоящей Политикой, внутренними нормативными документами Общества;
- разрабатывает и представляет для утверждения генеральному директору общества внутренние нормативные документы, касающиеся вопросов обработки персональных данных, требований к защите персональных данных;
- организует доведение и (или) доводит до сведения Работников Общества положений законодательства о персональных данных, настоящей Политики, внутренних нормативных документов Общества по вопросам обработки персональных данных, требований к защите персональных данных;
- осуществляет анализ, оценку и прогноз рисков, связанных с обработкой персональных данных в Обществе, выработку мер по снижению рисков;
- осуществляет оценку влияния процессов на права и свободы Субъектов персональных данных;
- осуществляет анализ автоматизированных систем и процессов обработки персональных данных на предмет соответствия установленным обязательным требованиям в области обработки и защиты персональных данных;
- осуществляет ведение учета процедур и средств обработки персональных данных;
- осуществляет определение угроз безопасности персональных данных при их обработке;
- осуществляет организацию и контроль уровня защищённости информационных систем персональных данных;
- осуществляет оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;
- разрабатывает внутренние процедуры, направленные на обеспечение безопасности и защиты персональных данных;
- организует и осуществляет контроль соблюдения Обществом и его Работниками законодательства о персональных данных, настоящей Политики, внутренних нормативных документов Общества, требований к защите персональных данных;
- осуществляет взаимодействие с органами государственной власти по вопросам защиты персональных данных;
- осуществляет иные функции, предусмотренные для лица, ответственного за организацию обработки персональных данных и защиту персональных данных, законодательством о персональных данных.
9.1.3 Лицо, ответственное за прием и обработку обращений и запросов:
- организует прием и обработку обращений и запросов Субъектов персональных данных или их представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов.
9.1.4 Лицо, ответственное за организацию и ведение кадровой работы:
- организует учет и хранение документов, содержащих персональные данные Кандидатов, Работников и их близких родственников, бывших Работников Общества.
10. Организация системы управления процессом обработки персональных данных
10.1 Обработка персональных данных Субъекта персональных данных осуществляется с его согласия на обработку персональных данных, а также без такового, если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект персональных данных, а также для заключения договора по инициативе Субъекта персональных данных или договора, по которому Субъект персональных данных будет являться выгодоприобретателем или поручителем или в иных случаях, предусмотренных законодательством о персональных данных.
10.2 Обработка специальной категории персональных данных, касающейся состояния здоровья Субъекта персональных данных, осуществляется с согласия Субъекта персональных данных на обработку своих персональных данных в письменной форме, а также без такового, если персональные данные сделаны общедоступными Субъектом персональных данных.
10.3 Общество вправе поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом. Такая Обработка персональных данных осуществляется только на основании договора, заключенного между Обществом и третьим лицом, в котором должны быть определены:
перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных;
цели обработки персональных данных;
обязанности третьего лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке, а также требования к защите обрабатываемых персональных данных.
10.4 Общество осуществляет передачу персональных данных государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.
10.5 Общество несет ответственность перед Субъектом персональных данных за действия лиц, которым поручает обработку персональных данных Субъекта персональных данных.
10.6 Доступ к обрабатываемым персональным данным предоставляется только тем Работникам Общества, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности.
10.7 Обработка персональных данных прекращается при достижении целей такой обработки, а также по истечении срока, предусмотренного законом, договором, или согласием Субъекта
персональных данных на обработку его персональных данных. При отзыве Субъектом персональных данных согласия на обработку его персональных данных, Общество вправе продолжить обработку персональных данных без согласия Субъекта персональных данных, если такая обработка предусмотрена договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, иным соглашением между Обществом и Субъектом персональных данных, либо если Общество вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных действующим законодательством Российской Федерации.
10.8 Обработка персональных данных осуществляется с соблюдением конфиденциальности, под которой понимается обязанность не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
10.9 Общество обеспечивает конфиденциальность персональных данных Субъекта персональных данных со своей стороны, со стороны своих Работников, имеющих доступ к персональным данным физических лиц, а также обеспечивает использование персональных данных вышеуказанными лицами исключительно в целях, соответствующих закону, договору или иному соглашению, заключенному с Субъектом персональных данных.
10.10 Обеспечение безопасности обрабатываемых персональных данных осуществляется Обществом в рамках единой комплексной системы организационно-технических и правовых мероприятий по защите информации, с учетом требований действующего законодательства о персональных данных.
11. Актуализация, исправление, удаление, уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
11.1 Подтверждение факта обработки персональных данных Обществом, правовые основания и цели обработки персональных данных, а также иные сведения, в соответствии с требованиями действующего законодательства, предоставляются Обществом Субъекту персональных данных или его представителю в сроки, установленные законодательством.
11.2 В предоставляемые сведения не включаются персональные данные, относящиеся к другим Субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
11.3 Запрос должен содержать:
- номер основного документа, удостоверяющего личность Субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие Субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом;
- подпись Субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с действующим законодательством.
Общество предоставляет Субъекту персональных данных или его представителю сведения, предусмотренные действующим законодательством, в той форме, в которой направлено соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
В случае несоответствия обращения (запроса) требованиями действующего законодательства Общество направляет Субъекту персональных данных или его представителю мотивированный отказ в предоставлении сведений.
Право Субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с требованиями действующего законодательства, в том числе если доступ Субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
11.4 В случае выявления неточных персональных данных при обращении Субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного государственного органа Общество осуществляет блокирование персональных данных, относящихся к этому Субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование
персональных данных не нарушает права и законные интересы Субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Общество на основании сведений, представленных Субъектом персональных данных или его представителем либо уполномоченным государственным органом, или иных необходимых документов уточняет персональные данные в течение 7 (семи) рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
11.5 В случае выявления неправомерной обработки персональных данных при обращении (запросе) Субъекта персональных данных или его представителя либо уполномоченного государственного органа Общество осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому Субъекту персональных данных, с момента такого обращения или получения запроса.
11.6 При выявлении Обществом, уполномоченным государственным органом или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Общество:
- в течение 24 часов - уведомляет уполномоченным государственным орган (Роскомнадзор) о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав Субъектов персональных данных, предполагаемом вреде, нанесенном правам Субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Обществом на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
- в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
11.7 Порядок уничтожения персональных данных Обществом.
11.7.1 Условия и сроки уничтожения персональных данных Обществом:
- достижение цели обработки персональных данных либо утрата необходимости достигать эту цель - в течение 30 дней;
- достижение максимальных сроков хранения документов, содержащих персональные данные, - в течение 30 дней;
- предоставление Субъектом персональных данных (его представителем) подтверждения
того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение 7 рабочих дней;
- отзыв Субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, - в течение 30 дней.
11.7.2 При достижении цели обработки персональных данных, а также в случае отзыва Субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект персональных данных;
- Общество не вправе осуществлять обработку без согласия Субъекта персональных данных на основаниях, предусмотренных действующим законодательством;
- иное не предусмотрено другим соглашением между Обществом и Субъектом персональных данных.
11.7.3 Уничтожение персональных данных осуществляет комиссия, созданная в соответствии с приказом генерального директора Общества.
11.7.4 Способы уничтожения персональных данных устанавливаются в локальных нормативных и/или распорядительных актах Общества.
12. Меры по обеспечению безопасности персональных данных при их обработке
12.1 При обработке персональных данных Общество принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
12.2 Общество назначает ответственного за организацию обработки персональных данных: Назначен сотрудник, ответственный за организацию обработки персональных данных
12.3 Обеспечение безопасности персональных данных достигается, в частности:
- Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- Учетом машинных носителей персональных данных;
- Обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
- Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета действий, совершаемых с персональными данными в информационной системе персональных данных;
- Ознакомление работников Общества, непосредственно осуществляющие обработку персональных данных, ознакомление с положениями законодательства Российской Федерации о персональных данных, в т. ч. требованиями к защите персональных данных, локальными актами по вопросам обработки персональных данных;
- Контролем доступа в помещения, в которых осуществляется обработка персональных данных;
- Контролем эффективности применяемых мер и средств по обеспечению безопасности персональных данных, а также контролем уровня защищенности информационных систем персональных данных.
13. Заключительные положения
13.1 Общество, его должностные лица и Работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки персональных данных физических лиц, а также за разглашение или незаконное использование персональных данных в соответствии с законодательством Российской Федерации.