| Утверждено Приказом № 2/1 от ________
_____________/Р.А. Осинцева/ |
Приложение № 1
Политика в отношении обработки персональных данных
г. Екатеринбург
2025 год
- Общие положения
1.1. Политика в отношении обработки персональных данных ООО “ДФ”
(далее — “Политика”) определяет основные цели, принципы и условия обработки персональных данных, обязанности ООО “ДФ”
(далее — Общество, Оператор, Компания) при обработке персональных данных, права субъектов персональных данных, а также применяемые в Обществе меры по защите персональных данных.
1.2. Политика разработана в соответствии с требованиями законодательства в области обработки и защиты персональных данных, основанного на Конституции РФ и состоящего из Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
(далее - ФЗ № 152), иных федеральных законах и подзаконных нормативных правовых актах, регулирующих вопросы обработки и защиты персональных данных.
1.3.Политика регулирует отношения между Оператором и:
1.3.1. физическим лицом (соискателем, работником Оператора, клиентом, представителем клиента, иным субъектом) по обработке и защите персональных данных;
1.3.2. физическим лицом, являющимся пользователем сайта Оператора, находящимся по адресу в сети Интернет:
https://osincev.org/[1], по обработке и защите персональных данных, получаемых и обрабатываемых с использованием сайта.
1.4. В целях реализации положений Политики Обществом разрабатываются локальные нормативные акты и иные документы, регламентирующие вопросы обработки персональных данных в Обществе.
1.5. Общество периодически актуализирует Политику и вправе в одностороннем порядке в любой момент времени изменять ее положения. Общество рекомендует регулярно проверять содержание Политики на предмет ее возможных изменений.
2. Термины и определения2.1. Термины и определения, содержащиеся в Политике, используются в следующих значениях:
Термины | Определения |
Персональные данные | любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). |
Персональные данные, разрешенные субъектом персональных данных для распространения, | персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном ФЗ № 152. |
Оператор | государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. |
Обработка персональных данных | любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. |
Автоматизированная обработка персональных данных | обработка персональных данных с помощью средств вычислительной техники. |
Распространение персональных данных | действия, направленные на раскрытие персональных данных неопределенному кругу лиц. |
Предоставление персональных данных | действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. |
Блокирование персональных данных | временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). |
Уничтожение персональных данных | действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. |
Обезличивание персональных данных | действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. |
Информационная система персональных данных | совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. |
Трансграничная передача персональных данных | передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. |
Cookie-файлы | небольшие файлы, состоящие из букв и цифр, загружаемые на устройство, когда посетитель обращается к определенным сайтам. Файлы cookie позволяют сайту распознавать ваше устройство и отображать сайт в соответствии с вашими предпочтениями. |
Пользовательские данные | информация об устройстве (например, Desktop), платформе, браузере, стране, городе, процент скролла, активности, ссылке на сайт, на который посетитель ранее заходил, IP-адрес. |
3.1. Детальная информация о целях, категориях субъектов персональных данных и о правовых основания обработки персональных данных изложена в реестре процессов обработки персональных данных, который совместно с Политикой размещен на сайте.
3.2. Детальная информация об основаниях обработки персональных данных и сроках обработки изложена в реестре процессов обработки персональных данных, который совместно с Политикой размещен на сайте.
3.3. При сборе персональных данных, в том числе посредством сети Интернет, обеспечивается запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ.
4. Объем и категории обрабатываемых персональных данных4.1. Детальная информация об объеме и категориях обрабатываемых персональных данных содержится в реестре процессов обработки персональных данных, который совместно с Политикой размещен на сайте.
5. Порядок и условия обработки персональных данных5.1. Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), извлечение, блокирование, удаление, уничтожение персональных данных.
5.2. Обработка персональных данных осуществляется с применением:
5.2.1. автоматизированной обработки персональных данных с передачей по сети Интернет или без таковой;
5.2.2.неавтоматизированной обработки персональных данных;
5.2.3. смешанных способов обработки.
5.3. Обработка персональных данных субъекта персональных данных осуществляется с его согласия на обработку персональных данных, а также без такового, если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем или в иных случаях, предусмотренных законодательством Российской Федерации.
5.4. Передача персональных данных третьему лицу осуществляется только с согласия субъекта персональных данных или в случаях, прямо предусмотренных законодательством Российской Федерации.
5.5. Общество раскрывает информацию третьим лицам только в случаях, предусмотренных Политикой или применимым законодательством Российской Федерации, и только в объёме, необходимом исходя из цели раскрытия.
5.6. Общество вправе поручить обработку персональных данных другому лицу и (или) осуществлять обработку персональных данных по поручению другого лица в порядке и на условиях, предусмотренных требованиями ч. 3−6 ст. 6 ФЗ № 152.
5.7. Лицам, получающим доступ к персональным данным по поручению, а равно третьим лицам, которым Общество предоставляет доступ по иным законным основаниям, передаётся строго ограниченный набор данных, необходимый для исполнения их функций.
5.8. Общество принимает все зависящие от него меры, чтобы обеспечить конфиденциальность персональных данных. Обработчики и третьи лица обязуются соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ № 152, иными законами и подзаконными актами. Для каждого обработчика в договоре определены: перечень обрабатываемых персональных данных; цели их обработки; перечень действий (операций), которые будут совершаться с персональными данными обработчиком; обязанности обработчика по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке, а также перечень принимаемых обработчиком мер по обеспечению защиты обрабатываемых им персональных данных, включая требование об уведомлении Общества об инцидентах с персональными данными; обязанность по запросу Общества в течение срока действия поручения на обработку персональных данных предоставлять Обществу документы и информацию, подтверждающую принятие мер и соблюдение в целях исполнения поручения Общества требований, установленных ФЗ № 152.
5.9. Информация об обработчиках, их местонахождении и выполняемых функциях, которые Обществом были переданы:
Цель передачи | Третьи лица | Адрес третьего лица | Ссылка на политику, если это применимо |
Провайдер услуг веб-аналитики (Яндекс Метрика). | ООО “ЯНДЕКС” ИНН 7736207543 | 119021, г. Москва, ул. Льва Толстого, д. 16 | https://yandex.ru/legal/confidential/ |
Сбор и хранение данных, полученных при телефонном разговоре | ООО “МАНГО ТЕЛЕКОМ” ИНН 7709501144 | 117420, г. Москва, ул. Профсоюзная, д. 57, ком. 84 | https://www.mango-office.ru/policies/privacy/ |
Информирования посетителей сайта о своей Оператора.. | ООО "ТАЙМВЭБ.ТЕХНОЛОГИИ" ИНН 7810981481 | 196006, г. Санкт-Петербург, ул. Заставская, д. 22, к. 2, лит. А, пом. 302 | https://timeweb.tech/tw-static/docs/reg-docs/policy-hosting.pdf |
5.10. Перечень лиц, обрабатывающих персональные данные субъекта по поручению Общества или получающих данные субъекта от Общества подлежит раскрытию в соответствующем согласии на обработку персональных данных
6.
Хранение персональных данных6.1. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого является субъект персональных данных, либо согласием на обработку персональных данных.
6.2. Хранение персональных данных осуществляется с учетом обеспечения режима их конфиденциальности.
6.3. Оператор обеспечивает сбор персональных данных и их обработку с использованием баз данных, находящихся на территории Российской Федерации
6.4. Персональные данные передаются на архивное хранение в соответствии с законодательством Российской Федерации об архивном деле, уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации, договором, стороной которого является субъект персональных данных, либо согласием на обработку персональных данных.
7. Трансграничная передача данных7.1. Общество не осуществляет трансграничную передачу данных, а если начнет, то в соответствии с требованиями:
7.1.1. Общество осуществляет трансграничную передачу персональных данных в соответствии с требованиями действующего законодательства Российской Федерации. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с требованиями действующего законодательства Российской Федерации.
7.1.2. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, осуществляется в соответствии с требованиями действующего законодательства Российской Федерации.
8. Меры, принимаемые для обеспечения выполнения обязанностей оператора при обработке персональных данных8.1. Общество принимает необходимые правовые, организационные и технические меры, позволяющие обеспечить безопасность персональных данных, а также соблюдение прав субъектов персональных данных, требований законодательства Российской Федерации и локальных актов Общества в области обработки и защиты персональных данных.
8.2. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:
8.2.1. издание локальных актов Организации по вопросам обработки персональных данных;
8.2.2. назначение лица, ответственного за организацию обработки персональных данных;
8.2.3. определение лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных в Организации и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных;
8.2.4. определение порядка доступа работников Организации в помещения, в которых ведется обработка персональных данных;
8.2.5. ознакомление работников Организации непосредственно осуществляющих обработку персональных данных под роспись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими порядок обработки персональных данных в Организации;
8.2.6. получение персональных данных лично у субъекта персональных данных, в случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных, в случае возникновения необходимости получения персональных данных у третьей стороны Организация извещает об этом субъекта персональных данных заранее, получает его письменное согласие и сообщает ему о целях, предполагаемых источниках и способах получения персональных данных;
8.2.7. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
8.2.8. применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
8.2.9. опубликование на официальном сайте Организации Политики;
8.2.10. осуществление внутреннего контроля соответствия обработки персональных данных ФЗ № 152, Политике и локальным нормативным актам Организации, регламентирующих порядок обработки персональных данных;
8.2.11. оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ № 152;
8.2.12. применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
8.2.13. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
8.2.14. учет машинных носителей персональных данных;
8.2.15. обнаружение фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
8.2.16. установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
8.2.17. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
8.2.18. организация рассмотрения запросов субъектов персональных данных или их представителей и ответов на такие запросы;
8.2.19. блокирование, внесение изменений и уничтожение персональных данных в предусмотренных действующим законодательством случаях.
8.3. Процедуры, направленные на устранение последствий нарушений законодательства Российской Федерации в сфере персональных данных;
8.3.1. прекращение неправомерной обработки персональных данных или обеспечение прекращения неправомерной обработки персональных данных лицом, действующим по поручению Организации;
8.3.2. если обеспечить правомерность обработки персональных данных невозможно, Общество уничтожает такие персональные данные или обеспечивает их уничтожение, в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных;
8.3.3. уведомление субъекта персональных данных или его представителя об устранении допущенных нарушений;
8.3.4. в случае отсутствия возможности уничтожения персональных данных в течение установленного срока, Организация осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен действующим законодательством Российской Федерации;
8.3.5. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним, если это возможно;
8.3.6. уведомление уполномоченного органа по защите прав субъектов персональных данных в случае установления оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных:
8.3.6.1. в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
8.3.6.2. в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
9.
Порядок взаимодействия с субъектами персональных данных9.1. Субъект, персональные данные которого обрабатываются в Обществе, вправе отозвать ранее данное согласие на обработку персональных данных, а равно получить доступ к своим персональным данным, в том числе к следующей информации:
9.1.1. подтверждение факта обработки персональных данных;
9.1.2. правовые основания и цели обработки персональных данных;
9.1.3. применяемые способы обработки персональных данных;
9.1.4. наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании законодательства Российской Федерации;
9.1.5. перечень обрабатываемых персональных данных, относящиеся к соответствующему субъекту, и источник их получения;
9.1.6. сроки обработки персональных данных и сроки их хранения;
9.1.7. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9.1.8. наименование лица, осуществляющего обработку персональных данных по поручению оператора, в случае если обработка поручена третьему лицу.
9.2. Если иной порядок взаимодействия Общества и субъекта персональных данных не предусмотрен соответствующим документом (например, договором или текстом согласия на обработку персональных данных), для реализации указанных прав субъекту персональных данных необходимо направить в адрес Общества требование:
9.2.1. в письменной форме и подписанное собственноручной подписью — по адресу: 620028, г. Екатеринбург, Верх-Исетский бульвар, дом 25, а/я 63;
9.2.2. в форме электронного документа — на электронную почту: osincev@osincev.org.
9.3. Заявление лица должно содержать описание требований, а также информацию, способную его идентифицировать как субъекта персональных данных, чьи данные обрабатывает Общество.
9.4. Во избежание избыточной обработки персональных данных при реагировании на запросы субъекта Общество руководствуется принципом соразмерности предоставленных субъектом для идентификации обрабатываемых сведений, что подразумевает:
9.4.1. в случае, если субъектом персональных данных дано согласие в соответствии с ч. 4 ст. 9 ФЗ № 152, а именно путем проставления собственноручной подписи на бумажном носителе, содержащем согласие на обработку персональных данных, а равно в форме электронного документа, подписанного аналогом собственноручной подписи, то запрос должен содержать следующие реквизиты:
9.4.1.1. ФИО субъекта персональных данных;
9.4.1.2. номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, либо иные данные, позволяющие однозначно идентифицировать субъекта персональных данных;
9.4.1.3. сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом, либо сведения, иным способом подтверждающие факт обработки персональных данных Обществом;
9.4.1.4. рукописная подпись субъекта персональных данных или его представителя на бумажном носителей, а равно электронная подпись.
9.4.2. во всех иных случаях субъект персональных данных для своей идентификации указывает те сведения, которые им были оставлены в соответствующем согласии на обработку персональных данных (например, электронная почта и номер телефона).
9.5. Общество рассматривает обращения, дает разъяснения и предпринимает меры по защите данных в десятидневный срок. В случае претензий и жалоб со стороны субъекта персональных данных, Общество принимает все необходимые меры для устранения возможных нарушений, установления виновных лиц и урегулирования спорных ситуаций в досудебном порядке.
9.6. Субъект персональных данных вправе обжаловать действия (бездействия) и решения Общества, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) и в суд в порядке, установленном законодательством Российской Федерации.
9.7. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных законодательством Российской Федерации.
10.
Заключительные положения10.1. Иные права и обязанности Общества как оператора персональных данных определяются законодательством Российской Федерации в области персональных данных. Общество, его должностные лица и работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки персональных данных, а также за разглашение или незаконное использование персональных данных.
10.2. Реквизиты и контактная информация Оператора персональных данных:
Наименование | Общество с ограниченной ответственностью “ДФ” |
Почтовый адрес | 620028, г. Екатеринбург, Верх-Исетский бульвар, дом 25, а/я 63 |
Реквизиты | ИНН 6658485980 ОГРН 1169658048130 |
Ответственный за обработку персональных данных | Осинцев Евгений Анатольевич |
Контактный телефон | 8 982 660 06 46 |
Электронная почта | osincev@osincev.org |