Политика обработки персональных данных в ООО «Онис»

ВВЕДЕНИЕ

Настоящая Политика конфиденциальности регулирует порядок обработки и использования персональных и иных данных ООО «Онис» (далее — Администратор).

Передавая Администратору персональные и иные данные посредством Приложения, Пользователь подтверждает свое согласие на использование указанных данных на условиях, изложенных в настоящей Политике конфиденциальности.

Если Пользователь не согласен с условиями настоящей Политики конфиденциальности, он обязан прекратить использование Приложения. Безусловным акцептом настоящей Политики конфиденциальности является начало использования Приложения Пользователем.

1. Общие положения

1.1. Политика обработки персональных данных в ООО «Онис» № 643-П (далее – Политика) разработана на основании Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ) в целях обеспечения защиты прав и свобод субъектов персональных данных.

1.2. Целью Политики является установление основных принципов, условий и подходов к обработке и обеспечению безопасности персональных данных при их обработке в Организации.

1.3. Организация, являясь Оператором, обеспечивает защиту прав и свобод субъектов при обработке их персональных данных и принимает меры для выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ и принятыми в соответствии с ним нормативно-правовыми актами.

1.4. Настоящая Политика действует в отношении всех процессов в Организации, связанных с обработкой персональных данных, и распространяется на отношения в области обработки персональных данных, возникшие у Организации как до, так и после утверждения настоящей Политики.

1.5. Персональные данные являются конфиденциальной информацией, охраняемой в соответствии с действующим законодательством Российской Федерации и на них, распространяются все требования, установленные внутренними документами Организации, связанными с обеспечением защиты конфиденциальной информации.

1.6. Обработка, обеспечение конфиденциальности и безопасности персональных данных в Организации осуществляется в соответствии с требованиями действующего законодательства Российской Федерации, нормативными актами Организации России, Роскомнадзора, ФСБ России, ФСТЭК России и иных государственных и регулирующих органов и внутренними документами Организации.

1.7. Внутренние документы, регламентирующие обработку персональных данных в Организации, разрабатываются с учетом положений настоящей Политики.

1.8. Настоящая Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных в Организации.

2. Термины и определения

В настоящей Политике используются следующие термины и определения:
Автоматизированная обработка персональных данных –
обработка персональных данных с помощью средств вычислительной техники.
Организация –
ООО «Онис».
Группа –
не являющееся юридическим лицом объединение юридических лиц, в котором одно юридическое лицо или несколько юридических лиц (далее – участники группы) находятся под контролем либо значительным влиянием Организации.
Блокирование персональных данных –
временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система персональных данных –
совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обезличивание персональных данных –
действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных –
любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор –
государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные –
любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Предоставление персональных данных –
действия, направленные на раскрытие персональных данных определенному лицу или определяемому кругу лиц.
Распространение персональных данных –
действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Трансграничная передача персональных данных –
передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение персональных данных –
действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

3. Цели обработки персональных данных

3.1. Обработка персональных данных в Организации должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.2. Организация осуществляет обработку персональных данных в следующих целях:

4. Цели обработки персональных данных

4.1. Правовыми основаниями обработки персональных данных являются совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Организация осуществляет обработку персональных данных, а именно:

5. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

5.1. Содержание и объем обрабатываемых персональных данных в Организации должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

5.2. В зависимости от целей, предусмотренных в разделе 3 настоящей Политики, в Организации обрабатываются персональные данные следующих категорий субъектов персональных данных:

5.3. Перечень персональных данных, в том числе специальных категорий персональных данных, обрабатываемых в Организации, определяется в соответствии с законодательством Российской Федерации, внутренними документами Организации с учетом целей обработки персональных данных, указанных в разделе 3 настоящей Политики и в соответствии с Уведомлением об обработке персональных данных (далее – Уведомление), направленным Организацией в уполномоченный орган по защите прав субъектов персональных данных.

5.4. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, в Организации не допускается, за исключением случаев, предусмотренных законодательством Российской Федерации.

5.5. Обработка биометрических персональных данных, осуществляется Организацией на основании, определенном законодательством Российской Федерации, с согласия субъекта персональных данных на обработку его персональных данных, получаемого в соответствии с требованиями Федерального закона № 152-ФЗ.

6. Обработка биометрических персональных данных, осуществляется Организацией на основании, определенном законодательством Российской Федерации, с согласия субъекта персональных данных на обработку его персональных данных, получаемого в соответствии с требованиями Федерального закона № 152-ФЗ.

6.1. Обработка персональных данных Организацией осуществляется на основе следующих принципов:

6.2. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Организация вправе обрабатывать персональные данные без согласия субъекта персональных данных в случае, если обработка персональных данных необходима для заключения и исполнения договора, стороной которого, либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Обработка персональных данных допускается без согласия субъекта персональных данных для достижения целей, предусмотренных международным договором Российской Федерации или законом, осуществления и выполнения возложенных законодательством Российской Федерации на Организация функций, полномочий и обязанностей и в иных случаях, установленных законодательством Российской Федерации.

6.3. Обработка персональных данных в Организации может осуществляться с помощью средств вычислительной техники (автоматизированная обработка) как в информационных системах, целью создания которых является обработка персональных данных, так и в иных информационных системах, в которых персональные данные обрабатываются совместно с информацией, защищаемой в соответствии с требованиями, установленными для этой информации (включая обеспечение режима защиты сведений конфиденциального характера, в том числе составляющих охраняемую законом тайну, и соблюдение режима коммерческой тайны и др.), либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).

6.4. В Организации запрещается принятие решений на основании исключительно автоматизированной обработки персональных данных, которые порождают юридические последствия в отношении субъекта персональных данных или иным образом затрагивают его права и законные интересы, кроме случаев и условий, предусмотренных законодательством Российской Федерации.

6.5. К обработке персональных данных допускаются только те работники Организации, должностные обязанности которых обуславливают обработку персональных данных. Указанные работники имеют право обрабатывать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.

6.6. Организация осуществляет передачу персональных данных государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.

6.7. Организация обеспечивает конфиденциальность персональных данных субъекта персональных данных, а также обеспечивает использование персональных данных исключительно в целях, соответствующих Федеральному закону № 152-ФЗ, договору или иному соглашению, заключенному с субъектом персональных данных. Организация обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

6.8. Обеспечение безопасности обрабатываемых персональных данных осуществляется Организацией в рамках единой комплексной системы организационно-технических мероприятий по обеспечению режима конфиденциальности информации, составляющей охраняемую законом тайну, с учетом действующего законодательства Российской Федерации о персональных данных, принятых в соответствии с ним нормативных правовых актов, включая нормативные акты государственных и регулирующих органов и требования платежных систем и сервисов, путем применения средств защиты информации, в том числе прошедших в установленном порядке процедуру оценки. Система информационной безопасности Организации непрерывно развивается и совершенствуется на базе требований международных и национальных стандартов информационной безопасности, а также лучших мировых практик.

6.9. Сроки обработки персональных данных определяются в соответствии со сроками, установленными Федеральным законом № 152-ФЗ, сроком действия договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, сроками действия документов, регулирующих хранение архивных документов, образующихся в процессе деятельности, сроками хранения документов акционерных обществ, сроком исковой давности, сроком согласия, данным субъектом персональных данных на их обработку, а также иными требованиями законодательства Российской Федерации и нормативными актами.

6.10. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Организация обязан прекратить их обработку (обеспечить прекращение такой обработки, если обработка персональных данных осуществляется другим лицом по поручению Организации) и уничтожить персональные данные (обеспечить их уничтожение, если обработка персональных данных осуществляется другим лицом по поручению Организации) в сроки, установленные Федеральным законом № 152-ФЗ. Организация вправе не уничтожать персональные данные и продолжить их обработку без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе № 152-ФЗ.

6.11. Организация вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом № 152-ФЗ, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Организации, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом № 152-ФЗ. В поручении Организации должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных. Организация несет ответственность перед субъектом персональных данных за действия лиц, которым Организация поручает обработку персональных данных.

6.12. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Организация, обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

6.13. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Организация обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных законодательством Российской Федерации.

6.14. В случаях, установленных законодательством Российской Федерации, после проведения идентификации при личном присутствии клиента, являющегося гражданином Российской Федерации, с его согласия и на безвозмездной основе Организация обязан размещать или обновлять в электронной форме в единой системе идентификации и аутентификации сведения, необходимые для регистрации в ней клиента, и сведения, предусмотренные Федеральным законом № 115-ФЗ, а также в единой информационной системе персональных данных, обеспечивающей сбор, обработку, хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным клиента, его биометрические персональные данные.

6.15. Организация обязан предложить субъекту персональных данных, обратившемуся в целях проведения идентификации без личного присутствия, использовать средства защиты информации, включая шифровальные (криптографические) средства, позволяющие обеспечить безопасность передаваемых данных от угроз безопасности, актуальных при обработке биометрических персональных данных, определенных в соответствии с ч. 14 ст. 14.1 Федерального закона № 149-ФЗ, и имеющие подтверждение соответствия требованиям, установленным в соответствии со ст. 19 Федерального закона № 152-ФЗ, и указать страницу сайта в сети «Интернет», с которой предоставляются эти средства.

6.16. В случае отказа клиента от использования средств защиты информации, включая шифровальные (криптографические) средства, при предоставлении биометрических персональных данных в целях проведения идентификации без его личного присутствия посредством сети «Интернет», Организация уведомляет клиента о рисках, связанных с таким отказом, и после документального подтверждения клиентом своего решения вправе провести соответствующую идентификацию клиента посредством сети «Интернет» без использования шифровальных (криптографических) средств в случаях, установленных законодательством Российской Федерации.

6.17. В случае отказа клиента от использования средств защиты информации, включая шифровальные (криптографические) средства, при предоставлении своих биометрических персональных данных в целях проведения идентификации без его личного присутствия посредством сети «Интернет» с использованием мобильного телефона, смартфона или планшетного компьютера, Организация обязан отказать такому клиенту в проведении указанной идентификации в соответствии с Федеральным законом № 149-ФЗ.

6.18. В ходе осуществления своей деятельности Организация может осуществлять трансграничную передачу персональных данных в порядке и в соответствии с требованиями Федерального закона № 152-ФЗ.

6.19. При обработке персональных данных Организация принимает необходимые правовые, организационные и технические меры и обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

6.20. В случае изменения сведений, указанных в Уведомлении, а также в случае прекращения обработки персональных данных Организация обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

6.21. Субъект персональных данных имеет право:

6.21.1. На получение информации, касающейся обработки его персональных данных, в том числе содержащей: подтверждение факта обработки персональных данных; правовые основания и цели обработки персональных данных; применяемые Организацией способы обработки персональных данных; наименование и место нахождения Организации, сведения о лицах (за исключением работников Организации), которые имеют доступ к персональным данным и другие сведения, предусмотренные ст. 14 Федерального закона № 152-ФЗ.

6.21.2. На отзыв согласия на обработку персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Организация вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе № 152-ФЗ.

6.22. При реализации прав, указанных в пункте 6.21 настоящей Политики, субъекту персональных данных рекомендуется использовать шаблоны форм обращений, установленных Приложением к настоящей Политике.

6.22. При получении обращения субъекта персональных данных Организация обязан направить субъекту персональных данных письменный ответ в порядке и сроки, установленные законодательством Российской Федерации и внутренними документами Организации.

7. Ответственность

7.1. Организация назначает ответственное лицо за организацию обработки персональных данных. Лицо, ответственное за организацию обработки персональных данных в Организации, осуществляет управление и методологическое сопровождение обработки персональных данных, включая внутренний контроль за соблюдением законодательства Российской Федерации о персональных данных, доводит до сведения работников Организации положения законодательства Российской Федерации о персональных данных и внутренних документов Организации по вопросам обработки персональных данных, осуществляет контроль за приемом и обработкой обращений и запросов субъектов персональных данных или их представителей.

7.2. Ответственность за нарушение требований законодательства Российской Федерации и внутренних документов Организации в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

7.3. Ответственность за обработку и обеспечение выполнения необходимых мероприятий по организации режима конфиденциальности персональных данных в ССП [1] возлагается на руководителей ССП.

7.4. Ответственность за выполнение необходимых мероприятий по организации режима конфиденциальности персональных данных в региональных филиалах возлагается на директоров региональных филиалов.

7.4. Ответственность работников Организации, имеющих доступ к персональным данным, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных, включая разглашение или утрату персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Организации персонально для каждого работника, имеющего доступ к персональным данным и допустившего такое нарушение. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.

8. Заключительные положения

8.1. Настоящая Политика является общедоступной и подлежит размещению на официальном сайте Организации в информационно-телекоммуникационной сети «Интернет» по адресу: www.onis-tech.ru.

8.2. Настоящая Политика подлежит пересмотру в случае изменения законодательства Российской Федерации и специальных нормативных правовых актов по обработке и защите персональных данных, а также по инициативе Организации, но не реже одного раза в три года.

8.3. Обратная связь:

Адрес электронной почты: info@onis-tech.ru

Почтовый адрес: 106203 Москва, ул. Нижняя Первомайская, 68/7.

[1] Термин «Самостоятельные структурные подразделения (ССП)» применяется в настоящей Политике в значении, определенном в Положении о подготовке, утверждении и хранении положений о подразделениях ООО «Онис» и должностных инструкций работников ООО «Онис» № 101-П.