LARNILANE • Политика конфиденциальности
LARNILANE • Политика конфиденциальности
Какие персональные данные
мы собираем:
1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее — «Политика») разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных.
1.2. Политика применяется ко всем персональным данным, которые Оператор получает от клиентов, партнеров, сотрудников и иных субъектов персональных данных.
1.3. Основные цели обработки персональных данных определены в разделе 4 настоящей Политики и включают, но не ограничиваются: исполнение договорных обязательств, соблюдение требований законодательства, организацию мероприятий, ведение кадрового учета.
2. Категории субъектов, персональные данные которых обрабатываются, и состав обрабатываемых персональных данных
2.1. Оператор обрабатывает персональные данные следующих категорий субъектов:
2.1.1. Представители корпоративных клиентов (контактные лица по договорам): ФИО, должность, место работы, контактный телефон, адрес электронной почты, паспортные данные (если требуются для заключения договора).
2.1.2. Иные физические лица, обращающиеся к Оператору или предоставляющие свои данные для иных законных целей.
2.2. Содержание и объем обрабатываемых персональных данных для каждой категории субъектов соответствует целям обработки, указанным в разделе 4 настоящей Политики. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.
3. Принципы обработки персональных данных
3.1. Обработка персональных данных осуществляется на основе следующих принципов:
i. законности, справедливости и прозрачности;
ii. ограничения обработки только необходимыми целями;
iii. обеспечения точности и актуальности данных;
iv. хранения данных не дольше требуемого срока;
v. обеспечения конфиденциальности и безопасности.
4. Цели обработки персональных данных
4.1. Обработка персональных данных осуществляется Оператором в следующих целях:
4.1.1. В отношении Представителей корпоративных клиентов:
i. заключение, исполнение и прекращение гражданско-правовых договоров на организацию мероприятий;
ii. коммуникация по вопросам организации и проведения мероприятий;
iii. выставление счетов и проведение расчетов.
4.1.2. Общие цели:
i. ответы на запросы субъектов персональных данных;
ii. исполнение требований законодательства Российской Федерации.
5. Порядок доступа к персональным данным
5.1. Сотрудники Оператора, которые в силу выполняемых служебных обязанностей постоянно работают с ПДн, получают допуск к необходимым категориям ПДн на срок выполнения ими соответствующих должностных обязанностей на основании перечня лиц, допущенных к работе с ПДн, который утверждается Генеральным Директором.
5.2. Оператором установлен разрешительный порядок доступа к ПДн. Сотрудникам Оператора предоставляется доступ к работе с ПДн исключительно в пределах и объеме, необходимых для выполнения ими своих должностных обязанностей на основании решения Генерального Директора.
5.3. Временный или разовый допуск к работе с ПДн в связи со служебной необходимостью может быть получен сотрудником Оператора по согласованию Генерального Директора.
5.4. Доступ к ПДн третьих лиц, не являющихся сотрудниками Оператора без согласия субъекта ПДн, запрещен, за исключением доступа сотрудников органов исполнительной власти, осуществляемого в рамках мероприятий по контролю и надзору за исполнением законодательства, реализации функций и полномочий соответствующих органов государственной власти. Предоставление информации по запросу или требованию органа государственной власти осуществляется с ведома Генерального директора Оператора.
5.5. Все ПДн обрабатываются в локальных файлах на ПК или на корпоративном сетевом хранилище (NAS) Оператора с ограниченным доступом.
5.6. Не допускается использование внешних накопителей (флешек, SD-карт) при работе с ПДн.
5.7. Бумажные документы с ПДн хранятся в закрытых шкафах с ограниченным доступом. Персональные данные в электронном виде хранятся в информационных системах Общества, а также в архивных копиях таких систем. Порядок архивирования и сроки хранения архивных копий определяются внутренними инструкциями Общества
6. Процедура реагирования на утечку персональных данных
6.1. Оператор обязуется в течение 24 часов с момента обнаружения утечки уведомить Роскомнадзор об инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом.
6.2. Оператор обязуется в течение первых 24 часов создать комиссию, которая будет заниматься расследованием причин и последствий утечки.
6.3. Комиссия незамедлительно осуществляет предварительный анализ обстоятельств, сообщенных работником и в случае, если факт инцидента подтвержден, незамедлительно:
i. информирует руководство Оператора о случившемся факте;
ii. инициирует проведение внутреннего расследования с обязательным привлечением заинтересованных подразделений Оператора;
iii. выявляет предполагаемые причины инцидента;
iv. проводит оценку предполагаемого вреда, нанесенного правам субъектов ПДн
6.4. Оператор оценивает необходимость уведомления субъектов ПДн об инциденте и действует в соответствии с указаниями уполномоченного органа по защите прав субъектов ПДн и требованиями законодательства.
6.5. При получении от Комиссии информации об инциденте Оператор незамедлительно осуществляет внутреннее расследование инцидента в рамках предусмотренных процедур Оператора с привлечением заинтересованных подразделений.
6.6. Оператор уведомляет Роскомнадзор о результатах внутреннего расследования инцидента, а также предоставляет сведения о лицах, действия которых стали его причиной (при наличии), не позднее 72 часов с момента выявления инцидента.
7. Ответственность за нарушение норм, регулирующих обработку ПДн
7.1. Работники Оператора, а также иные лица, получившие доступ к обрабатываемым ПДн, уведомлены о необходимости соблюдения конфиденциальности ПДн, а также о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения требований законодательства Российской Федерации в области обработки ПДн.
7.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, несут дисциплинарную, материальную, административную, гражданско-правовую, уголовную и иную предусмотренную законодательством Российской Федерации ответственность.
8. Заключительные положения
8.1. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. В частности, персональные данные участников мероприятий уничтожаются Оператором в течение 30 календарных дней после предоставления отчета корпоративному клиенту и завершения всех взаиморасчетов по договору, если иное не согласовано с корпоративным клиентом или не требуется для выполнения требований законодательства.
8.2. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. К таким мерам, в частности, относятся:
i. назначение лица, ответственного за организацию обработки персональных данных;
ii. издание локальных нормативных актов, определяющих политику Оператора в отношении обработки персональных данных, и иных документов, регламентирующих обработку и защиту персональных данных;
iii. ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
iv. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
v. применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных (с учетом определенного УЗ);
vi. осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
vii. оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона № 152-ФЗ, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ;
viii. обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
ix. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним через резервное копирование;
x. установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных (если позволяют технические средства);
xi. использование средств защиты информации (антивирусное ПО, межсетевые экраны и т.д.);
xii. ограничение доступа в помещения, где обрабатываются персональные данные;
xiii. иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.
8.3. Настоящая Политика является общедоступным документом. Оператор обеспечивает неограниченный доступ к настоящей Политике.
8.4. Настоящая Политика может быть пересмотрена в случае изменения законодательства Российской Федерации в области персональных данных, а также в иных случаях, требующих ее актуализации. Изменения в Политику вносятся приказом Генерального директора Оператора.
мы собираем:
1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее — «Политика») разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных.
1.2. Политика применяется ко всем персональным данным, которые Оператор получает от клиентов, партнеров, сотрудников и иных субъектов персональных данных.
1.3. Основные цели обработки персональных данных определены в разделе 4 настоящей Политики и включают, но не ограничиваются: исполнение договорных обязательств, соблюдение требований законодательства, организацию мероприятий, ведение кадрового учета.
2. Категории субъектов, персональные данные которых обрабатываются, и состав обрабатываемых персональных данных
2.1. Оператор обрабатывает персональные данные следующих категорий субъектов:
2.1.1. Представители корпоративных клиентов (контактные лица по договорам): ФИО, должность, место работы, контактный телефон, адрес электронной почты, паспортные данные (если требуются для заключения договора).
2.1.2. Иные физические лица, обращающиеся к Оператору или предоставляющие свои данные для иных законных целей.
2.2. Содержание и объем обрабатываемых персональных данных для каждой категории субъектов соответствует целям обработки, указанным в разделе 4 настоящей Политики. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.
3. Принципы обработки персональных данных
3.1. Обработка персональных данных осуществляется на основе следующих принципов:
i. законности, справедливости и прозрачности;
ii. ограничения обработки только необходимыми целями;
iii. обеспечения точности и актуальности данных;
iv. хранения данных не дольше требуемого срока;
v. обеспечения конфиденциальности и безопасности.
4. Цели обработки персональных данных
4.1. Обработка персональных данных осуществляется Оператором в следующих целях:
4.1.1. В отношении Представителей корпоративных клиентов:
i. заключение, исполнение и прекращение гражданско-правовых договоров на организацию мероприятий;
ii. коммуникация по вопросам организации и проведения мероприятий;
iii. выставление счетов и проведение расчетов.
4.1.2. Общие цели:
i. ответы на запросы субъектов персональных данных;
ii. исполнение требований законодательства Российской Федерации.
5. Порядок доступа к персональным данным
5.1. Сотрудники Оператора, которые в силу выполняемых служебных обязанностей постоянно работают с ПДн, получают допуск к необходимым категориям ПДн на срок выполнения ими соответствующих должностных обязанностей на основании перечня лиц, допущенных к работе с ПДн, который утверждается Генеральным Директором.
5.2. Оператором установлен разрешительный порядок доступа к ПДн. Сотрудникам Оператора предоставляется доступ к работе с ПДн исключительно в пределах и объеме, необходимых для выполнения ими своих должностных обязанностей на основании решения Генерального Директора.
5.3. Временный или разовый допуск к работе с ПДн в связи со служебной необходимостью может быть получен сотрудником Оператора по согласованию Генерального Директора.
5.4. Доступ к ПДн третьих лиц, не являющихся сотрудниками Оператора без согласия субъекта ПДн, запрещен, за исключением доступа сотрудников органов исполнительной власти, осуществляемого в рамках мероприятий по контролю и надзору за исполнением законодательства, реализации функций и полномочий соответствующих органов государственной власти. Предоставление информации по запросу или требованию органа государственной власти осуществляется с ведома Генерального директора Оператора.
5.5. Все ПДн обрабатываются в локальных файлах на ПК или на корпоративном сетевом хранилище (NAS) Оператора с ограниченным доступом.
5.6. Не допускается использование внешних накопителей (флешек, SD-карт) при работе с ПДн.
5.7. Бумажные документы с ПДн хранятся в закрытых шкафах с ограниченным доступом. Персональные данные в электронном виде хранятся в информационных системах Общества, а также в архивных копиях таких систем. Порядок архивирования и сроки хранения архивных копий определяются внутренними инструкциями Общества
6. Процедура реагирования на утечку персональных данных
6.1. Оператор обязуется в течение 24 часов с момента обнаружения утечки уведомить Роскомнадзор об инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом.
6.2. Оператор обязуется в течение первых 24 часов создать комиссию, которая будет заниматься расследованием причин и последствий утечки.
6.3. Комиссия незамедлительно осуществляет предварительный анализ обстоятельств, сообщенных работником и в случае, если факт инцидента подтвержден, незамедлительно:
i. информирует руководство Оператора о случившемся факте;
ii. инициирует проведение внутреннего расследования с обязательным привлечением заинтересованных подразделений Оператора;
iii. выявляет предполагаемые причины инцидента;
iv. проводит оценку предполагаемого вреда, нанесенного правам субъектов ПДн
6.4. Оператор оценивает необходимость уведомления субъектов ПДн об инциденте и действует в соответствии с указаниями уполномоченного органа по защите прав субъектов ПДн и требованиями законодательства.
6.5. При получении от Комиссии информации об инциденте Оператор незамедлительно осуществляет внутреннее расследование инцидента в рамках предусмотренных процедур Оператора с привлечением заинтересованных подразделений.
6.6. Оператор уведомляет Роскомнадзор о результатах внутреннего расследования инцидента, а также предоставляет сведения о лицах, действия которых стали его причиной (при наличии), не позднее 72 часов с момента выявления инцидента.
7. Ответственность за нарушение норм, регулирующих обработку ПДн
7.1. Работники Оператора, а также иные лица, получившие доступ к обрабатываемым ПДн, уведомлены о необходимости соблюдения конфиденциальности ПДн, а также о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения требований законодательства Российской Федерации в области обработки ПДн.
7.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, несут дисциплинарную, материальную, административную, гражданско-правовую, уголовную и иную предусмотренную законодательством Российской Федерации ответственность.
8. Заключительные положения
8.1. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. В частности, персональные данные участников мероприятий уничтожаются Оператором в течение 30 календарных дней после предоставления отчета корпоративному клиенту и завершения всех взаиморасчетов по договору, если иное не согласовано с корпоративным клиентом или не требуется для выполнения требований законодательства.
8.2. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. К таким мерам, в частности, относятся:
i. назначение лица, ответственного за организацию обработки персональных данных;
ii. издание локальных нормативных актов, определяющих политику Оператора в отношении обработки персональных данных, и иных документов, регламентирующих обработку и защиту персональных данных;
iii. ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
iv. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
v. применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных (с учетом определенного УЗ);
vi. осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
vii. оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона № 152-ФЗ, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ;
viii. обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
ix. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним через резервное копирование;
x. установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных (если позволяют технические средства);
xi. использование средств защиты информации (антивирусное ПО, межсетевые экраны и т.д.);
xii. ограничение доступа в помещения, где обрабатываются персональные данные;
xiii. иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.
8.3. Настоящая Политика является общедоступным документом. Оператор обеспечивает неограниченный доступ к настоящей Политике.
8.4. Настоящая Политика может быть пересмотрена в случае изменения законодательства Российской Федерации в области персональных данных, а также в иных случаях, требующих ее актуализации. Изменения в Политику вносятся приказом Генерального директора Оператора.
Какие персональные данные
мы собираем:
1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее — «Политика») разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных.
1.2. Политика применяется ко всем персональным данным, которые Оператор получает от клиентов, партнеров, сотрудников и иных субъектов персональных данных.
1.3. Основные цели обработки персональных данных определены в разделе 4 настоящей Политики и включают, но не ограничиваются: исполнение договорных обязательств, соблюдение требований законодательства, организацию мероприятий, ведение кадрового учета.
2. Категории субъектов, персональные данные которых обрабатываются, и состав обрабатываемых персональных данных
2.1. Оператор обрабатывает персональные данные следующих категорий субъектов:
2.1.1. Представители корпоративных клиентов (контактные лица по договорам): ФИО, должность, место работы, контактный телефон, адрес электронной почты, паспортные данные (если требуются для заключения договора).
2.1.2. Иные физические лица, обращающиеся к Оператору или предоставляющие свои данные для иных законных целей.
2.2. Содержание и объем обрабатываемых персональных данных для каждой категории субъектов соответствует целям обработки, указанным в разделе 4 настоящей Политики. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.
3. Принципы обработки персональных данных
3.1. Обработка персональных данных осуществляется на основе следующих принципов:
i. законности, справедливости и прозрачности;
ii. ограничения обработки только необходимыми целями;
iii. обеспечения точности и актуальности данных;
iv. хранения данных не дольше требуемого срока;
v. обеспечения конфиденциальности и безопасности.
4. Цели обработки персональных данных
4.1. Обработка персональных данных осуществляется Оператором в следующих целях:
4.1.1. В отношении Представителей корпоративных клиентов:
i. заключение, исполнение и прекращение гражданско-правовых договоров на организацию мероприятий;
ii. коммуникация по вопросам организации и проведения мероприятий;
iii. выставление счетов и проведение расчетов.
4.1.2. Общие цели:
i. ответы на запросы субъектов персональных данных;
ii. исполнение требований законодательства Российской Федерации.
5. Порядок доступа к персональным данным
5.1. Сотрудники Оператора, которые в силу выполняемых служебных обязанностей постоянно работают с ПДн, получают допуск к необходимым категориям ПДн на срок выполнения ими соответствующих должностных обязанностей на основании перечня лиц, допущенных к работе с ПДн, который утверждается Генеральным Директором.
5.2. Оператором установлен разрешительный порядок доступа к ПДн. Сотрудникам Оператора предоставляется доступ к работе с ПДн исключительно в пределах и объеме, необходимых для выполнения ими своих должностных обязанностей на основании решения Генерального Директора.
5.3. Временный или разовый допуск к работе с ПДн в связи со служебной необходимостью может быть получен сотрудником Оператора по согласованию Генерального Директора.
5.4. Доступ к ПДн третьих лиц, не являющихся сотрудниками Оператора без согласия субъекта ПДн, запрещен, за исключением доступа сотрудников органов исполнительной власти, осуществляемого в рамках мероприятий по контролю и надзору за исполнением законодательства, реализации функций и полномочий соответствующих органов государственной власти. Предоставление информации по запросу или требованию органа государственной власти осуществляется с ведома Генерального директора Оператора.
5.5. Все ПДн обрабатываются в локальных файлах на ПК или на корпоративном сетевом хранилище (NAS) Оператора с ограниченным доступом.
5.6. Не допускается использование внешних накопителей (флешек, SD-карт) при работе с ПДн.
5.7. Бумажные документы с ПДн хранятся в закрытых шкафах с ограниченным доступом. Персональные данные в электронном виде хранятся в информационных системах Общества, а также в архивных копиях таких систем. Порядок архивирования и сроки хранения архивных копий определяются внутренними инструкциями Общества
6. Процедура реагирования на утечку персональных данных
6.1. Оператор обязуется в течение 24 часов с момента обнаружения утечки уведомить Роскомнадзор об инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом.
6.2. Оператор обязуется в течение первых 24 часов создать комиссию, которая будет заниматься расследованием причин и последствий утечки.
6.3. Комиссия незамедлительно осуществляет предварительный анализ обстоятельств, сообщенных работником и в случае, если факт инцидента подтвержден, незамедлительно:
i. информирует руководство Оператора о случившемся факте;
ii. инициирует проведение внутреннего расследования с обязательным привлечением заинтересованных подразделений Оператора;
iii. выявляет предполагаемые причины инцидента;
iv. проводит оценку предполагаемого вреда, нанесенного правам субъектов ПДн
6.4. Оператор оценивает необходимость уведомления субъектов ПДн об инциденте и действует в соответствии с указаниями уполномоченного органа по защите прав субъектов ПДн и требованиями законодательства.
6.5. При получении от Комиссии информации об инциденте Оператор незамедлительно осуществляет внутреннее расследование инцидента в рамках предусмотренных процедур Оператора с привлечением заинтересованных подразделений.
6.6. Оператор уведомляет Роскомнадзор о результатах внутреннего расследования инцидента, а также предоставляет сведения о лицах, действия которых стали его причиной (при наличии), не позднее 72 часов с момента выявления инцидента.
7. Ответственность за нарушение норм, регулирующих обработку ПДн
7.1. Работники Оператора, а также иные лица, получившие доступ к обрабатываемым ПДн, уведомлены о необходимости соблюдения конфиденциальности ПДн, а также о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения требований законодательства Российской Федерации в области обработки ПДн.
7.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, несут дисциплинарную, материальную, административную, гражданско-правовую, уголовную и иную предусмотренную законодательством Российской Федерации ответственность.
8. Заключительные положения
8.1. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. В частности, персональные данные участников мероприятий уничтожаются Оператором в течение 30 календарных дней после предоставления отчета корпоративному клиенту и завершения всех взаиморасчетов по договору, если иное не согласовано с корпоративным клиентом или не требуется для выполнения требований законодательства.
8.2. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. К таким мерам, в частности, относятся:
i. назначение лица, ответственного за организацию обработки персональных данных;
ii. издание локальных нормативных актов, определяющих политику Оператора в отношении обработки персональных данных, и иных документов, регламентирующих обработку и защиту персональных данных;
iii. ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
iv. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
v. применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных (с учетом определенного УЗ);
vi. осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
vii. оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона № 152-ФЗ, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ;
viii. обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
ix. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним через резервное копирование;
x. установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных (если позволяют технические средства);
xi. использование средств защиты информации (антивирусное ПО, межсетевые экраны и т.д.);
xii. ограничение доступа в помещения, где обрабатываются персональные данные;
xiii. иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.
8.3. Настоящая Политика является общедоступным документом. Оператор обеспечивает неограниченный доступ к настоящей Политике.
8.4. Настоящая Политика может быть пересмотрена в случае изменения законодательства Российской Федерации в области персональных данных, а также в иных случаях, требующих ее актуализации. Изменения в Политику вносятся приказом Генерального директора Оператора.
мы собираем:
1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее — «Политика») разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных.
1.2. Политика применяется ко всем персональным данным, которые Оператор получает от клиентов, партнеров, сотрудников и иных субъектов персональных данных.
1.3. Основные цели обработки персональных данных определены в разделе 4 настоящей Политики и включают, но не ограничиваются: исполнение договорных обязательств, соблюдение требований законодательства, организацию мероприятий, ведение кадрового учета.
2. Категории субъектов, персональные данные которых обрабатываются, и состав обрабатываемых персональных данных
2.1. Оператор обрабатывает персональные данные следующих категорий субъектов:
2.1.1. Представители корпоративных клиентов (контактные лица по договорам): ФИО, должность, место работы, контактный телефон, адрес электронной почты, паспортные данные (если требуются для заключения договора).
2.1.2. Иные физические лица, обращающиеся к Оператору или предоставляющие свои данные для иных законных целей.
2.2. Содержание и объем обрабатываемых персональных данных для каждой категории субъектов соответствует целям обработки, указанным в разделе 4 настоящей Политики. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.
3. Принципы обработки персональных данных
3.1. Обработка персональных данных осуществляется на основе следующих принципов:
i. законности, справедливости и прозрачности;
ii. ограничения обработки только необходимыми целями;
iii. обеспечения точности и актуальности данных;
iv. хранения данных не дольше требуемого срока;
v. обеспечения конфиденциальности и безопасности.
4. Цели обработки персональных данных
4.1. Обработка персональных данных осуществляется Оператором в следующих целях:
4.1.1. В отношении Представителей корпоративных клиентов:
i. заключение, исполнение и прекращение гражданско-правовых договоров на организацию мероприятий;
ii. коммуникация по вопросам организации и проведения мероприятий;
iii. выставление счетов и проведение расчетов.
4.1.2. Общие цели:
i. ответы на запросы субъектов персональных данных;
ii. исполнение требований законодательства Российской Федерации.
5. Порядок доступа к персональным данным
5.1. Сотрудники Оператора, которые в силу выполняемых служебных обязанностей постоянно работают с ПДн, получают допуск к необходимым категориям ПДн на срок выполнения ими соответствующих должностных обязанностей на основании перечня лиц, допущенных к работе с ПДн, который утверждается Генеральным Директором.
5.2. Оператором установлен разрешительный порядок доступа к ПДн. Сотрудникам Оператора предоставляется доступ к работе с ПДн исключительно в пределах и объеме, необходимых для выполнения ими своих должностных обязанностей на основании решения Генерального Директора.
5.3. Временный или разовый допуск к работе с ПДн в связи со служебной необходимостью может быть получен сотрудником Оператора по согласованию Генерального Директора.
5.4. Доступ к ПДн третьих лиц, не являющихся сотрудниками Оператора без согласия субъекта ПДн, запрещен, за исключением доступа сотрудников органов исполнительной власти, осуществляемого в рамках мероприятий по контролю и надзору за исполнением законодательства, реализации функций и полномочий соответствующих органов государственной власти. Предоставление информации по запросу или требованию органа государственной власти осуществляется с ведома Генерального директора Оператора.
5.5. Все ПДн обрабатываются в локальных файлах на ПК или на корпоративном сетевом хранилище (NAS) Оператора с ограниченным доступом.
5.6. Не допускается использование внешних накопителей (флешек, SD-карт) при работе с ПДн.
5.7. Бумажные документы с ПДн хранятся в закрытых шкафах с ограниченным доступом. Персональные данные в электронном виде хранятся в информационных системах Общества, а также в архивных копиях таких систем. Порядок архивирования и сроки хранения архивных копий определяются внутренними инструкциями Общества
6. Процедура реагирования на утечку персональных данных
6.1. Оператор обязуется в течение 24 часов с момента обнаружения утечки уведомить Роскомнадзор об инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом.
6.2. Оператор обязуется в течение первых 24 часов создать комиссию, которая будет заниматься расследованием причин и последствий утечки.
6.3. Комиссия незамедлительно осуществляет предварительный анализ обстоятельств, сообщенных работником и в случае, если факт инцидента подтвержден, незамедлительно:
i. информирует руководство Оператора о случившемся факте;
ii. инициирует проведение внутреннего расследования с обязательным привлечением заинтересованных подразделений Оператора;
iii. выявляет предполагаемые причины инцидента;
iv. проводит оценку предполагаемого вреда, нанесенного правам субъектов ПДн
6.4. Оператор оценивает необходимость уведомления субъектов ПДн об инциденте и действует в соответствии с указаниями уполномоченного органа по защите прав субъектов ПДн и требованиями законодательства.
6.5. При получении от Комиссии информации об инциденте Оператор незамедлительно осуществляет внутреннее расследование инцидента в рамках предусмотренных процедур Оператора с привлечением заинтересованных подразделений.
6.6. Оператор уведомляет Роскомнадзор о результатах внутреннего расследования инцидента, а также предоставляет сведения о лицах, действия которых стали его причиной (при наличии), не позднее 72 часов с момента выявления инцидента.
7. Ответственность за нарушение норм, регулирующих обработку ПДн
7.1. Работники Оператора, а также иные лица, получившие доступ к обрабатываемым ПДн, уведомлены о необходимости соблюдения конфиденциальности ПДн, а также о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения требований законодательства Российской Федерации в области обработки ПДн.
7.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, несут дисциплинарную, материальную, административную, гражданско-правовую, уголовную и иную предусмотренную законодательством Российской Федерации ответственность.
8. Заключительные положения
8.1. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. В частности, персональные данные участников мероприятий уничтожаются Оператором в течение 30 календарных дней после предоставления отчета корпоративному клиенту и завершения всех взаиморасчетов по договору, если иное не согласовано с корпоративным клиентом или не требуется для выполнения требований законодательства.
8.2. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. К таким мерам, в частности, относятся:
i. назначение лица, ответственного за организацию обработки персональных данных;
ii. издание локальных нормативных актов, определяющих политику Оператора в отношении обработки персональных данных, и иных документов, регламентирующих обработку и защиту персональных данных;
iii. ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
iv. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
v. применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных (с учетом определенного УЗ);
vi. осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
vii. оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона № 152-ФЗ, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ;
viii. обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
ix. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним через резервное копирование;
x. установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных (если позволяют технические средства);
xi. использование средств защиты информации (антивирусное ПО, межсетевые экраны и т.д.);
xii. ограничение доступа в помещения, где обрабатываются персональные данные;
xiii. иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.
8.3. Настоящая Политика является общедоступным документом. Оператор обеспечивает неограниченный доступ к настоящей Политике.
8.4. Настоящая Политика может быть пересмотрена в случае изменения законодательства Российской Федерации в области персональных данных, а также в иных случаях, требующих ее актуализации. Изменения в Политику вносятся приказом Генерального директора Оператора.