Соглашение на обработку персональных данных
ПОЛИТИКА конфиденциальности автономной некоммерческой организации по проведению судебных экспертиз и иных исследований «БАЗИС» (АНО «БАЗИС») в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных
I. Общие положения.
1.1. Настоящая Политика разработана в соответствии с Федеральным законом Российской Федерации от 27.07.2006 года № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 01.11.2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Указом Президента РФ от 06.03.1997 года № 188 «Об утверждении перечня сведений конфиденциального характера», а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее – ПД), которые автономной некоммерческой организации по проведению судебных экспертиз и иных исследований «БАЗИС» (далее – АНО «БАЗИС», Оператор) может получить от субъекта персональных данных, являющегося стороной по гражданско-правовому договору, оказанию консультационных экспертных услуг, судебной экспертизе, внесудебного исследования, оценки, а также от субъекта ПД, состоящего с АНО «БАЗИС» в отношениях, регулируемых трудовым законодательством (далее – Работник).
1.2. АНО «БАЗИС» публикует Политику на своем официальном сайте в сети Интернет по адресу: http://bazis-expertiza.ru, а также предоставляет неограниченный доступ к ней любому лицу, лично обратившемуся в АНО «БАЗИС».
1.3. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.4. Настоящая политика АНО «БАЗИС» в отношении обработки персональных данных (далее – Политика) применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта: http://bazis-expertiza.ru (далее – Сайт). Сайт не контролирует и не несет ответственности за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на Сайте: http://bazis-expertiza.ru.
1.5. Использование сервисов Сайта означает безоговорочное согласие Пользователя с настоящей Политикой и указанными в ней условиями обработки его персональной информации. В случае несогласия с этими условиями Пользователь должен воздержаться от использования сервисов.
1.6. В Политике используются следующие термины и определения:
· автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
· биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;
· блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
· доступ к персональным данным – ознакомление определенных лиц (в том числе работников оператора) с персональными данными субъектов, обрабатываемыми оператором, при условии сохранения конфиденциальности этих сведений;
· информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
· конфиденциальность персональных данных (ИСПД) – обязанность лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
· недекларированные (недокументированные) возможности программного обеспечения – функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение характеристик безопасности защищаемой информации;
· персональные данные (ПД) – любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу, в том числе Пользователю Сайта http://bazis-expertiza.ru;
· персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных (далее – персональные данные, разрешенные для распространения);
· обезличивание персональных данных – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных;
· обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
· общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен на основании федерального закона субъектом персональных данных либо по его просьбе, в том числе данные, которые в соответствии с законодательством подлежат обязательному раскрытию или опубликованию;
· оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; в Политике под оператором понимается АНО «БАЗИС»;
· пользователь – любой посетитель Сайта http://bazis-expertiza.ru;
· предоставление персональных данных – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;
· распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
· сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети Интернет по сетевому адресу http://bazis-expertiza.ru;
· специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
· субъект персональных данных – физическое лицо, к которому относятся персональные данные;
· трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
· уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.
II. Информация об Операторе.
2.1. Автономная некоммерческая организация по проведению судебных экспертиз и иных исследований «БАЗИС» (АНО «БАЗИС»), место нахождения: 414000, Астраханская обл., г. Астрахань, ул. Ленина, д. 52, помещение 1, ОГРН: 1163025054598, дата присвоения ОГРН: «20» мая 2016 г., ИНН: 3015108370, КПП: 301501001, директор: Парамонов Максим Олегович, тел.: +7 (8512) 51-33-33, сайт: http://bazis-expertiza.ru.
III. Цели и категории субъектов, чьи ПД обрабатываются Оператором.
3.1. ПД работников Оператора – в целях соблюдения законов и иных нормативно-правовых актов, получения образования и продвижения по работе, обеспечения личной безопасности работников, предоставления работникам льгот и гарантий, предусмотренных федеральным законодательством, расчета и выплаты заработной платы и иных вознаграждений, расчета и перечисления налогов и страховых взносов, контроля количества и качества выполняемой работы, обеспечения сохранности имущества Оператора.
3.2. ПД кандидатов на вакантные должности – в целях обеспечения соблюдения законодательства Российской Федерации и иных нормативно-правовых актов, содействия в трудоустройстве, проверки деловых и личных качеств.
3.3. ПД лиц, принятых для прохождения практики, – в целях обеспечения соблюдения законодательства РФ и иных нормативно-правовых актов, содействия в обучении.
3.4. ПД уволенных работников – в целях соблюдения законодательства РФ, в том числе в части бухгалтерского и налогового учета, обеспечения архивного хранения документов, предоставления гарантий и компенсаций, установленных действующим законодательством и локальными нормативными актами Оператора.
3.5. ПД клиентов АНО «БАЗИС» – субъектов (пользователей), т.е. лиц или их представителей, предоставивших свои ПД через формы обратной связи на сайте http://bazis-expertiza.ru Оператора либо имеющих намерения получить консультационные экспертные услуги, либо имеющих намерения заключить договор о проведении внесудебных исследований, оценки непосредственно в офисе АНО «БАЗИС». Получение сведений о ПД субъекта осуществляется при заполнении формы обратной связи на сайте Оператора, либо в порядке, установленном подпунктами 12.3.5, 12.3.6 настоящей Политики.
3.6. Обработка ПД осуществляется с целью установления обратной связи для обработки обращений, жалоб, уведомлений, оказания помощи в вопросах, связанных с предоставлением информации о деятельности Оператора. Обработка ПД осуществляется по существующим договорным отношениям либо при намерениях субъекта ПД вступить в договорные отношения с Оператором, либо при намерениях субъекта ПД получить от Оператора информацию об услугах Оператора без намерения субъекта ПД заключить договор с Оператором.
3.7. ПД представителей субъектов ПД – в целях обеспечения соблюдения прав и законных интересов субъекта ПД, обращающихся к Оператору по поручению и от имени субъектов персональных данных (далее – Представители субъектов).
3.8. ПД, содержащиеся в анкете (резюме), размещенной субъектом ПД на специализированных сайтах в сети Интернет или присланной субъектом ПД Оператору по электронной почте.
3.9. Оператор организует обработку персональных данных по поручению других операторов, к которым относятся (не исчерпывая):
- органы власти и государственные внебюджетные фонды, в которые перечисляются средства Работников или средства для зачисления на счет Работников (налоговые инспекции Федеральной налоговой службы, территориальные отделения Пенсионного фонда России, Федерального фонда обязательного медицинского страхования, Фонда социального страхования и др.);
- военные комиссариаты, которым персональные данные предоставляются (передаются) в случаях, предусмотренных действующим законодательством Российской Федерации, и в объеме, определенном этим законодательством.
Указанным выше операторам персональные данные предоставляются (передаются) в объеме, определенном федеральными законами, соответствующими органами власти и государственными внебюджетными фондами в пределах их полномочий. Специального согласия субъектов ПД (Работников) на такую передачу персональных данных не требуется.
3.10. Оператор не проверяет достоверность персональной информации, предоставляемой субъектом ПД (пользователями сайта Оператора, представителем субъекта ПД), и не осуществляет контроль за их дееспособностью. Оператор исходит из того, что субъект ПД (пользователь сайта, представитель субъекта ПД, субъект ПД) предоставляет достоверную и достаточную информацию и поддерживает ее в актуальном состоянии в том объеме, который необходим для оказания предоставляемых услуг, указанных в п. 1.1 настоящей Политики Оператором.
IV. Права и обязанности Оператора ПД и его работников.
4.1. Оператор имеет право:
– получать от субъекта ПД достоверные информацию и/или документы, содержащие ПД;
– в случае отзыва субъектом ПД согласия на обработку ПД Оператор вправе продолжить обработку ПД без согласия субъекта ПД при наличии оснований, указанных в Федеральном законе Российской Федерации от 27.07.2006 года № 152-ФЗ «О персональных данных»;
– самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом Российской Федерации от 27.07.2006 года № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Федеральным законом Российской Федерации от 27.07.2006 года № 152-ФЗ «О персональных данных» или другими федеральными законами.
4.2. Оператор обязан:
· предоставлять субъекту ПД по его просьбе информацию, касающуюся обработки его ПД;
· организовывать обработку ПД в порядке, установленном действующим законодательством РФ;
· отвечать на обращения и запросы субъектов ПД и их законных представителей в соответствии с требованиями Федерального закона Российской Федерации от 27.07.2006 года № 152-ФЗ «О персональных данных»;
· сообщать в уполномоченный орган по защите прав субъектов ПД по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса;
· публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки ПД;
· принимать правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении ПД;
· прекратить передачу (распространение, предоставление, доступ) ПД, прекратить обработку и уничтожить ПД в порядке и случаях, предусмотренных Федеральным законом Российской Федерации от 27.07.2006 года № 152-ФЗ «О персональных данных»;
· исполнять иные обязанности, предусмотренные Федеральным законом Российской Федерации от 27.07.2006 года № 152-ФЗ «О персональных данных».
4.3. Работники Оператора, допущенные к обработке ПД, обязаны:
а) знать и неукоснительно выполнять требования настоящей Политики;
б) обрабатывать ПД только в рамках выполнения своих должностных обязанностей;
в) не разглашать ПД, полученные в результате выполнения своих должностных обязанностей, а также ставшие им известными по роду своей деятельности;
г) пресекать действия третьих лиц, которые могут привести к разглашению (уничтожению, искажению) ПД;
д) выявлять факты разглашения (уничтожения, искажения) ПД и информировать об этом руководителя;
е) хранить тайну о сведениях, содержащих ПД в соответствии с локальными актами Оператора;
ж) работникам Оператора, допущенным к обработке ПД субъекта, запрещается несанкционированное и нерегламентированное копирование ПД на бумажные носители информации и на любые электронные носители информации, не предназначенные для хранения ПД;
з) каждый новый работник Оператора, непосредственно осуществляющий обработку ПД, подлежит ознакомлению с требованиями законодательства по обработке и обеспечению безопасности ПД и обязуется их соблюдать;
и) лица, виновные в нарушении требований законодательства РФ в области ПД, несут дисциплинарную, материальную, гражданско-правовую, административную и уголовную ответственность.
V. Права и обязанности субъектов ПД.
5.1. Субъекты ПД имеют право:
· получать информацию, касающуюся обработки их ПД, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту ПД Оператором в доступной форме, и в них не должны содержаться ПД, относящиеся к другим субъектам ПД, за исключением случаев, когда имеются законные основания для раскрытия таких ПД. Перечень информации и порядок ее получения установлены Федеральным законом Российской Федерации от 27.07.2006 года № 152-ФЗ «О персональных данных»;
· требовать от оператора уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
· выдвигать условие предварительного согласия при обработке ПД в целях продвижения на рынке товаров, работ и услуг;
· на отзыв согласия на обработку ПД;
· обжаловать в уполномоченный орган по защите прав ПД или в судебном порядке неправомерные действия или бездействие Оператора при обработке его ПД;
· на осуществление иных прав, предусмотренных законодательством РФ.
5.2. Субъекты ПД обязаны:
· предоставлять Оператору достоверные данные о себе;
· сообщать Оператору об уточнении (обновлении, изменении) своих ПД.
5.3. Лица, передавшие Оператору недостоверные сведения о себе либо сведения о другом субъекте ПД без согласия последнего, несут ответственность в соответствии с законодательством РФ.
VI. Перечень ПД пользователя, которые обрабатывает оператор.
6.1. В своей работе Оператор обрабатывает следующие ПД:
- фамилия, имя, отчество;
- адрес места жительства и места регистрации;
- электронный адрес;
- номера телефонов;
- год, месяц, дата и место рождения;
- фотографии;
- место работы, должность;
- семейное положение;
- отношение к воинской обязанности.
6.2. На Сайте происходит сбор и обработка обезличенных данных о посетителях (в том числе файлов cookie) с помощью сервисов интернет-статистики («Яндекс Метрика» и «Гугл Аналитика» и других).
6.3. Вышеперечисленные данные далее по тексту Политики объединены общим понятием «Персональные данные».
6.4. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.
6.5. Обработка ПД, разрешенных для распространения, из числа специальных категорий ПД, указанных в части 1 статьи 10 Федерального закона Российской Федерации от 27.07.2006 года № 152-ФЗ «О персональных данных», допускается, если соблюдаются запреты и условия, предусмотренные статьей 10.1 указанного федерального закона.
6.6. Согласие Пользователя на обработку ПД, разрешенных для распространения, оформляется отдельно от других согласий на обработку его ПД. При этом соблюдаются условия, предусмотренные, в частности, статьей 10.1 Федерального закона Российской Федерации от 27.07.2006 года № 152-ФЗ «О персональных данных». Требования к содержанию такого согласия устанавливаются уполномоченным органом по защите прав субъектов персональных данных.
6.6.1. Согласие на обработку ПД, разрешенных для распространения, Пользователь предоставляет Оператору непосредственно.
6.6.2. Оператор обязан в срок не позднее трех рабочих дней с момента получения указанного согласия Пользователя опубликовать информацию об условиях обработки, о наличии запретов и условий на обработку неограниченным кругом лиц ПД, разрешенных для распространения.
6.6.3. Передача (распространение, предоставление, доступ) ПД, разрешенных субъектом ПД для распространения, должна быть прекращена в любое время по требованию субъекта ПД. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД, а также перечень ПД, обработка которых подлежит прекращению. Указанные в данном требовании ПД могут обрабатываться только Оператором, которому оно направлено.
6.6.4. Согласие на обработку ПД, разрешенных для распространения, прекращает свое действие с момента поступления Оператору требования, указанного в пункте 6.6.3 настоящей Политики в отношении обработки ПД.
VII. Принципы обработки ПД.
7.1. Обработка ПД осуществляется на законной и справедливой основе.
7.2. Обработка ПД ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПД, несовместимая с целями сбора ПД.
7.3. Не допускается объединение баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой.
7.4. Обработке подлежат только ПД, которые отвечают целям их обработки.
7.5. Содержание и объем обрабатываемых ПД соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых ПД по отношению к заявленным целям их обработки.
7.6. При обработке ПД обеспечивается их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям их обработки. Оператор принимает необходимые меры и/или обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
7.7. Хранение ПД осуществляется в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД. Обрабатываемые ПД уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
VIII. Цели обработки ПД.
8.1. Цель обработки ПД Пользователя:
· информирование Пользователя посредством отправки электронных писем;
· предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на Сайте http://bazis-expertiza.ru.
8.2. Оператор имеет право направлять Пользователю уведомления о новых продуктах и услугах, специальных предложениях и различных событиях. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты info@bazis-expertiza.ru с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях».
8.3. Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.
IX. Правовые основания обработки ПД.
9.1. Правовыми основаниями обработки ПД Оператором являются:
· уставные (учредительные) документы Оператора;
· федеральные законы, иные нормативно-правовые акты в сфере защиты персональных данных;
· согласия Пользователей на обработку их ПД, на обработку ПД, разрешенных для распространения.
9.2. Оператор обрабатывает ПД Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на сайте http://bazis-expertiza.ru или направленные Оператору посредством электронной почты. Заполняя соответствующие формы и/или отправляя свои ПД Оператору, Пользователь выражает свое согласие с данной Политикой.
9.3. Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов cookie и использование технологии JavaScript).
9.4. Субъект ПД самостоятельно принимает решение о предоставлении его ПД и дает согласие свободно, своей волей и в своем интересе.
X. Условия обработки ПД.
10.1. Обработка ПД осуществляется с согласия субъекта ПД на обработку его ПД.
10.2. Обработка ПД необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления возложенных законодательством РФ на оператора функций, полномочий и обязанностей.
10.3. Обработка ПД необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве.
10.4. Обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет являться выгодоприобретателем или поручителем.
10.5. Обработка ПД необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПД.
10.6. Осуществляется обработка ПД, доступ неограниченного круга лиц к которым предоставлен субъектом ПД либо по его просьбе (далее – общедоступные персональные данные).
10.7. Осуществляется обработка ПД, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
XI. Порядок сбора, хранения, передачи и других видов обработки ПД.
11.1. Безопасность ПД, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты ПД.
11.2. Оператор обеспечивает сохранность ПД и принимает все возможные меры, исключающие доступ к ПД неуполномоченных лиц.
11.3. ПД Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства, либо в случае, если субъектом ПД дано согласие Оператору на передачу данных третьему лицу для исполнения обязательств по гражданско-правовому договору.
11.4. Срок обработки ПД определяется достижением целей, для которых были собраны ПД, если иной срок не предусмотрен договором или действующим законодательством.
Пользователь может в любой момент отозвать свое согласие на обработку ПД, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора info@bazis-expertiza.ru с пометкой «Отзыв согласия на обработку персональных данных».
11.5. Вся информация, которая собирается сторонними сервисами, в том числе платежными системами, средствами связи и другими поставщиками услуг, хранится и обрабатывается указанными лицами (Операторами) в соответствии с их Пользовательским соглашением и Политикой конфиденциальности. Субъект ПД и/или Пользователь обязан самостоятельно своевременно ознакомиться с указанными документами. Оператор не несет ответственность за действия третьих лиц, в том числе указанных в настоящем пункте поставщиков услуг.
11.6. Установленные субъектом ПД запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) ПД, разрешенных для распространения, не действуют в случаях обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством РФ.
11.7. Оператор при обработке ПД обеспечивает их конфиденциальность.
11.8. Оператор осуществляет хранение ПД в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД.
11.9. ПД субъекта могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
11.10. Сроки хранения ПД определяются в соответствии со сроками хранения документов на бумажных носителях и документов в электронных базах данных сроком действия согласия субъекта на обработку его ПД и иными требованиями действующего законодательства Российской Федерации.
11.11. ПД, зафиксированные на бумажные носители, хранятся в закрываемых шкафах с ограниченным правом доступа.
11.12. ПД, обрабатываемые с использованием средств автоматизации, хранятся в разных папках (вкладках).
11.13. Прекращение обработки ПД происходит в случае:
- достижения заявленных целей в обработке или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений установленного законом порядка обработки ПД;
- отзыва согласия на обработку субъектом персональных данных ПД уничтожаются в срок, не превышающий 30 дней с даты поступления письменного отзыва, если иное не предусмотрено федеральными законами или иными нормативными актами;
- истечения срока хранения ПД, определяемого в соответствии с действующим законодательством РФ и организационно-распорядительными документами Оператора;
- предписания уполномоченного органа по защите прав субъектов ПД или по решению суда.
11.14. ПД на электронных носителях уничтожается путем обезличивания – действий, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПД конкретному субъекту ПД.
11.15. В случае отсутствия возможности уничтожения (обезличивания) ПД, Оператор осуществляет блокирование таких ПД и обеспечивает уничтожение ПД в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
XII. Конфиденциальность ПД.
12.1. Защита ПД, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований законодательства в области защиты ПД.
12.1.1. Правовые меры:
а) разработка локальных актов в АНО «БАЗИС», реализующих требования законодательства, в том числе настоящей Политики в отношении обработки ПД;
б) отказ от любых способов обработки персональных данных, не соответствующих целям, заранее предопределенным Оператором.
12.1.2. Организационные меры:
а) назначение ответственных лиц за обработку ПД;
б) назначение ответственных лиц за безопасность ПД в информационных системах;
в) ознакомление Работников с положениями законодательства Российской Федерации о ПД, в том числе с требованиями к защите ПД, с локальными актами Оператора по вопросам обработки ПД;
г) ограничение состава Работников Оператора, имеющих доступ к ПД, и организация разрешительной системы доступа к ним;
д) определение в трудовых обязанностях и должностных инструкциях Работников Оператора обязанностей по обеспечению безопасности обработки и ответственности за нарушения установленного порядка работы с ПД субъекта;
е) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям Федерального закона Российской Федерации от 27.07.2006 года № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, определенным в настоящей Политике и локальных актах Оператора;
ж) обучение всех категорий Работников, непосредственно осуществляющих обработку персональных данных, правилам работы с ними и обеспечения безопасности обрабатываемых данных;
з) организация учёта материальных носителей ПД, их хранения, обеспечивающая предотвращение хищения, подмены, несанкционированного копирования и уничтожения;
и) ограничение допуска посторонних лиц в помещения Оператора, недопущение их нахождения в помещениях, где ведется работа с ПД и размещаются технические средства их обработки, без контроля со стороны работников Оператора.
12.1.3. Технические меры:
а) реализация требований к защите ПД при их обработке в информационных системах, исполнение которых обеспечивают установленные уровни защищенности персональных данных;
б) использование для нейтрализации актуальных угроз средств защиты информации, прошедших процедуру оценки соответствия;
в) оценка эффективности принимаемых мер по обеспечению безопасности ПД;
г) регистрацию и учёт действий c ПД пользователей информационных систем, в которых обрабатываются ПД;
д) выявление вредоносного программного обеспечения (применение антивирусных программ) на всех узлах информационной сети Оператора, обеспечивающих соответствующую техническую возможность;
е) безопасное межсетевое взаимодействие (применение межсетевого экранирования);
ж) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (использование системы резервного копирования и восстановления ПД);
з) периодическое проведение мониторинга действий пользователей, разбирательств по фактам нарушения требований безопасности ПД;
и) контроль за выполнением указанных выше требований (самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации) не реже 1 раза в 3 года.
12.2. Обеспечение конфиденциальности не требуется в отношении:
- ПД после их обезличивания;
- общедоступных ПД.
12.3. Согласие субъекта ПД на обработку своих ПД.
12.3.1. Субъект ПД принимает решение о предоставлении его ПД Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПД должно быть конкретным, информированным и сознательным и может предоставляться субъектом в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральными законами.
12.3.2. В случае получения согласия на обработку ПД от представителя субъекта ПД полномочия данного представителя на дачу согласия от имени субъекта ПД проверяются Оператором.
12.3.3. Специального выраженного согласия соискателя на обработку его ПД не требуется, т.к. обработка необходима в целях заключения трудового договора по инициативе соискателя – субъекта ПД, за исключением случаев, когда необходимо получение согласия соискателя в письменной форме для конкретных случаев обработки ПД. В случае принятия решения об отказе соискателю в приеме на работу, его ПД уничтожаются Оператором в течение 30 дней с даты принятия такого решения.
12.3.4. ПД лиц, подписавших договор с Оператором, содержащиеся в единых государственных реестрах юридических лиц и индивидуальных предпринимателей, являются открытыми и общедоступными, за исключением сведений о номере, дате выдачи и органе, выдавшем документ, удостоверяющий личность физического лица. Охраны их конфиденциальности и согласия субъектов на обработку не требуется. Во всех остальных случаях необходимо получение согласия субъектов ПД, являющихся Представителями контрагентов Оператора, за исключением лиц, подписавших договоры с Оператором, а также предоставивших доверенности на право действовать от имени и по поручению субъектов ПД и тем самым совершивших конклюдентные действия, подтверждающие их согласие с обработкой ПД, указанных в тексте договора и/или доверенности.
Согласие на передачу Оператору ПД Представителей контрагентов Оператора может быть получено самим контрагентом. В этом случае получение Оператором их согласия на обработку ПД не требуется.
12.3.5. Согласие субъекта ПД на обработку его ПД дается в форме конклюдентных действий, выраженных либо в предоставлении своих ПД, необходимых для входа в здания, помещения или на территорию Оператора, либо в форме предъявления документа, удостоверяющего личность, работникам Оператора.
12.3.6. Согласие Представителя субъекта на обработку его ПД дается в форме конклюдентных действий, выраженных в предоставлении доверенности на право действовать от имени и по поручению субъектов ПД, и документа, удостоверяющего его личность.
12.3.7. Согласие субъектов на предоставление их ПД не требуется при получении Оператором в рамках установленных полномочий мотивированных запросов от органов прокуратуры, правоохранительных органов, судебных органов, органов безопасности, а также органов власти и местного самоуправления, налоговых органов, судебных приставов, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной федеральными законами.
Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.
12.3.8. В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, Оператор обязан получить согласие субъекта на предоставление его ПД и предупредить лиц, получающих ПД, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.
12.3.9. Согласие на обработку ПД, которое не установлено требованиями законодательства или не требуется для исполнения договора с Оператором, стороной которого или выгодоприобретателем, по которому является субъект ПД, может быть отозвано субъектом ПД.
12.3.10. Во всех случаях обязанность предоставить доказательство получения согласия субъекта ПД на обработку его персональных данных или доказательство наличия оснований, указанных в Федеральном законе Российской Федерации от 27.07.2006 года №152-ФЗ «О персональных данных», возлагается на Оператора.
XIII. Трансграничная передача ПД.
13.1. Оператор до начала осуществления трансграничной передачи ПД обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу ПД, обеспечивается надежная защита прав субъектов ПД.
13.2. Трансграничная передача ПД на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме субъекта ПД на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект ПД.
XIV. Заключительные положения.
14.1. Настоящая Политика является внутренним локальным нормативным актом АНО «БАЗИС», общедоступным документом и подлежит размещению на сайте АНО «БАЗИС» в сети Интернет по адресу: http://bazis-expertiza.ru.
14.2. Утверждение настоящей Политики и принятие решений о внесении в него изменений и дополнений осуществляется Правлением Организации.
14.3. Настоящая Политика, а также изменения и дополнения к ней вводятся в действие приказом директора АНО «БАЗИС», на основании решения Правления Организации и вступают в силу с момента введения их в действие.
14.4. После пересмотра положений настоящей Политики ее актуализированная версия публикуется на сайте АНО «БАЗИС» в сети Интернет по адресу: http://bazis-expertiza.ru.
14.5. Все редакции настоящей Политики (в том числе действующая) на бумажном носителе хранится по месту нахождения АНО «БАЗИС»: 414000, Астраханская обл., г. Астрахань, ул. Ленина, д. 52, помещение 1.