Корзина

Итог:0

Политика в области обработки и обеспечения безопасности персональных данных

1. Общие положения 

1.1. Список терминов и определений 

Административно-хозяйственная деятельность - внутренние
процессы Компании, направленные на текущее обеспечение деятельности Компании
товарно-материальными ценностями (осуществление закупок канцтоваров, офисного
оборудования, расходных материалов, хозяйственных товаров, услуг связи и т.п.);
на организацию документооборота (ведение архива, библиотек, баз данных); на
организацию эксплуатации зданий, помещений, территорий (содержание, уборка,
оформление и ремонт помещений); на организацию рабочего процесса. 

Компания (оператор обработки ПДн) - Обществе с ограниченной
ответственностью «СУШИ БОКС», осуществляющий обработку ПДн, а также
определяющий цели обработки ПДн, состав ПДн, подлежащих обработке, и действия,
совершаемые с ПДн. 

Работник Компании - физическое лицо, заключившее с Компанией
трудовой договор. 

Близкие родственники - являются родственники по прямой
восходящей и нисходящей линии (родители и дети, дедушки, бабушки и внуки),
полнородные и неполнородные (имеющие общих отца или мать) братья и сестры. 

Кандидат - физическое лицо, претендующее на вакантную
должность в Компании, ПДн которого приняты Компанией. 

Клиент - физические и юридические лица, индивидуальные
предприниматели, приобретшие или намеревающиеся приобрести услуги Компании,
заключить с Компанией договоры, пользующиеся сервисами, расположенными на Сайте
Компании и передавшие свои персональные данные для обработки Компании с
использованием и без использования средств автоматизации. 

Контрагент - физические и юридические лица, индивидуальные
предприниматели, не относящиеся к Клиентам Компании, заключившие или
намеревающиеся заключить с Компанией гражданско-правовые договорные, в том
числе в связи с осуществлением Компанией Административно-хозяйственной
деятельности; 

Представитель клиента - физическое лицо, ПДн которого
переданы Компании и 

-входящее в органы управления Клиента; 

-являющееся владельцем/учредителем/акционером/участником
клиента; 

-действующее от имени клиента на основании
доверенности/указанное в карточке с образцами подписей и оттиска печати
клиента. 

Персональные данные - любая информация, относящаяся к прямо
или косвенно определенному, или определяемому физическому лицу (Субъекту ПДн).
Также под персональными данными понимается следующая информация, которую
Субъект ПДн предоставляет Компании при заполнении полей при оформлении заказа
и/или регистрации на Сайте компании в том числе но не ограничиваясь перечисленным:
ФИО Субъекта ПДн; дата рождения Субъекта ПДн; возраст; контактный телефон
Субъекта ПДн (а также указанный Субъекта ПДн контактный телефон получателя
заказа, клиента, руководителя , сотрудника и т.д.); адрес Субъекта ПДн, в том
числе по которому осуществляется доставка заказа; адрес электронной почты;
история заказов Субъекта ПДн, включая их содержимое; пользовательские
сообщения, в том числе в службы поддержки и т.д.; - история обращений субъекта/Пользователя,
в том числе присылаемые субъектом/Пользователем при обращениях к Оператору документы, информацию о личных промокодах; иная
информация, относящаяся к личности клиента/пользователя, которую
клиент/пользователь пожелает оставить на сайте, при использовании мобильного
приложения/контактные телефоны Компании; данные опросов; данные аккаунтов
социальных сетей и т.д.  

Обработка персональных данных - любое действие (операция)
Компании или совокупность действий (операций) с персональными данными,
совершаемых с использованием средств автоматизации или без использования таких
средств (на бумажных, на электронных носителях информации и в информационных
системах персональных данных), включая сбор, запись, систематизацию,
накопление, хранение, уточнение (обновление, изменение), извлечение,
использование, передачу (предоставление, доступ, с передачей по внутренней сети
и с передачей по сети Интернет), Обезличивание, Блокирование, удаление и
Уничтожение ПДн. 

В рамках Федерального закона от 27.07.2006 N 152-ФЗ "О
персональных данных" установлены следующие определения: 

• Распространение ПДн - действия, направленные на раскрытие
ПДн неопределенному кругу лиц. 

• Блокирование персональных данных - временное прекращение
обработки ПДн (за исключением случаев, если обработка необходима для уточнения
ПДн). 

• Обезличивание персональных данных - действия, в результате
которых становится невозможным без использования дополнительной информации
определить принадлежность ПДн конкретному субъекту ПДн. 

• Предоставление персональных данных - действия,
направленные на раскрытие ПДн определенному лицу или определенному кругу лиц. 

• Уничтожение персональных данных - действия, в результате
которых становится невозможным восстановить содержание ПДн в информационной
системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн. 

• Информационная система ПДн - совокупность содержащихся в
базах данных персональных данных и обеспечивающих их обработку информационных
технологий и технических средств. 

1.2. Политика в области обработки и обеспечения безопасности
персональных данных в Обществе с ограниченной ответственностью «СУШИ БОКС»
(далее – Политика) разработана в соответствии с Конституцией Российской
Федерации, Трудовым кодексом Российской Федерации от 30.12.2001 N
197-ФЗ,Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных
данных", Конвенцией Совета Европы №108 о защите физических лиц при
автоматизированной обработке персональных данных (Страсбург, 28.01.1981г.),
Налоговым кодексом Российской Федерации (честь первая) от 31.07.1998 № 146-ФЗ;
Налоговым кодексом Российской Федерации (честь вторая) от 05.08.2000 № 117-ФЗ;
Федеральным законом от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»; Федеральным
законом от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в
Российской Федерации»; Федеральным законом от 16.07.1999 № 165-ФЗ «Об основах
обязательного социального страхования»; Федеральным законом от 07.07.2003 №
126-ФЗ «О связи»; Федеральным законом от 07.08.2001 № 115-ФЗ «О противодействии
легализации (отмыванию) доходов, полученных преступным путем, и финансированию
терроризма»; Федеральным законом от 26.10.2002 № 127-ФЗ «О несостоятельности
(банкротстве)»; Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных
данных»; Уставом Компании; Согласием субъектов персональных данных, Гражданским
кодексом Российской Федерации (часть первая) от 30.11.1994 № 51-ФЗ; Гражданским
кодексом Российской Федерации (часть вторая) от 26.01.1996 № 14-ФЗ; Гражданским
кодексом Российской Федерации (часть третья) от 26.11.2001 № 146-ФЗ;
Гражданским кодексом Российской Федерации (часть четвертая) от 18.12.2006 №
230-ФЗ, а также в соответствии с иными федеральными законами и подзаконными
актами Российской Федерации, определяющими случаи и особенности обработки
персональных данных (Далее - ПДн) и обеспечивающими безопасность и конфиденциальность
такой информации (далее - Законодательство о ПДн). 

1.3. Действие Политики распространяется на любые операции,
совершаемые в Обществе с ограниченной ответственностью «СУШИ БОКС» (далее –
«Компания» или «Общество») с персональными данными, как с использованием
средств автоматизации, так и без использования средств автоматизации. 

1.4. Политика разработана в целях реализации требований
законодательства в области обработки и обеспечения безопасности ПДн и
направлена на обеспечение защиты прав и свобод человека и гражданина при
обработке его ПДн в Компании, определяет содержание и порядок обработки
персональных данных субъектов персональных данных, меры, направленные на защиту
персональных данных, а также процедуры, направленные на выявление и предотвращение
нарушений законодательства Российской Федерации в области обработки
персональных данных. 

1.5. Политика устанавливает: 

• цели обработки ПДн; 

• классификацию ПДн и Субъектов ПДн; 

• общие принципы обработки ПДн; 

• основных участников системы управления процессом обработки
ПДн; 

• основные подходы к системе управления процессом обработки
ПДн. 

1.6. Положения Политики являются основой для организации
работы по обработке ПДн в Компании, в том числе, для разработки внутренних
нормативных документов (регламентов, методик, технологических схем и пр.),
регламентирующих процесс обработки ПДн в Компании. 

1.7. Положения настоящей Политики являются обязательными для
исполнения всеми Работниками Компании, имеющими доступ к ПДн. 

1.8. Обеспечение неограниченного доступа к настоящей
Политике реализуется путем её публикации на сайте Компании в сети Интернет - https://redbox.rest (далее Сайт), мобильного
приложения «redbox.rest» (далее – мобильное приложение, товарный знак REDBOX)
на платформе iOS и Android, через колл-центр Компании по телефону указанному на
сайте
и иных приложениях, с целью защиты прав и свобод человека и гражданина при
обработке его персональных данных, в том числе защиты прав на
неприкосновенность частной жизни, личную и семейную тайну.  

 

2. Цели обработки персональных данных 

2.1. Компания осуществляет обработку ПДн в целях: 

• заключения, исполнения, изменения и расторжения
гражданско-правовых договоров, стороной которого является субъект персональных
данных; 

• проведения Компанией акций, опросов, исследований; 

• предоставления Субъекту ПДн информации об оказываемых
Компанией услугах, об услугах дочерних обществ Компании; информирования Клиента
о предложениях по продуктам и услугам Компании; 

• ведения кадровой работы и организации учета Работников
Компании; 

• привлечения и отбора Кандидатов на работу в Компании; 

• формирования статистической отчетности; 

• осуществления Компанией Административно-хозяйственной
деятельности; 

• регулирования трудовых и иных, непосредственно связанных с
ними отношений; 

• выявления случаев мошенничества и иных противоправных
действий, предотвращения таких противоправных действий в дальнейшем и
локализации последствий таких действий; 

• осуществления и выполнения возложенных законодательством
Российской Федерации на Компанию функций, прав и обязанностей; 

• продвижения услуг Компании посредством любых средств
связи, в том числе предоставление субъектам персональных данных информации об
оказываемых Компанией услугах; 

• ведения переговоров, направленных на заключение,
исполнение, изменение или расторжение любых не запрещенных законодательством
Российской Федерации договоров, вне зависимости от результатов таких
переговоров, а также проявления должной степени заботливости и осмотрительности
при выборе контрагента; 

• заключения, исполнения, изменения и расторжения
гражданско-правовых договоров, стороной которого является субъект персональных
данных; 

• обеспечение защиты прав и свобод человека и гражданина при
обработке его персональных данных, в том числе защиты прав на неприкосновенность
частной жизни, личную и семейную тайну; 

• продвижение товаров, работ, услуг Компании на рынке путем
осуществления прямых контактов с потенциальным потребителем с помощью средств
связи; 

а также для достижения целей, предусмотренных законодательством
Российской Федерации, для осуществления и выполнения возложенных на Компанию
функций, полномочий и обязанностей. 

3. Классификация ПДн и Субъектов ПДн 

3.1. К ПДн относится любая информация, относящаяся к прямо
или косвенно определенному, или определяемому физическому лицу (Субъекту ПДн),
обрабатываемая Компанией для достижения заранее определенных целей.  

 

3.2. Компания не осуществляет обработку специальных
категорий ПДн, касающихся расовой и национальной принадлежности, политических
взглядов, религиозных и философских убеждений, интимной жизни, судимости
физических лиц, если иное не установлено законодательством Российской
Федерации. 

3.3. Компания вправе осуществлять обработку специальной
категории персональных данных, касающейся состояния здоровья Субъекта ПДн
(застрахованных лиц и иных лиц, в случаях, предусмотренных действующим
законодательством). 

3.4. Компания в рамках организации пропускного режима
использует фотографии работников и представителей контрагентов в системе
контроля и управления доступом (далее - СКУД). 

3.5. В соответствии с научно-практическом комментарием к
152-ФЗ , фотоизображения или видеоизображения субъектов ПДн не относятся к
биометрическим ПДн. 

3.6. Компания осуществляет обработку ПДн следующих категорий
Субъектов Пдн: 

• Работников, бывших Работников, Кандидатов, Близких
родственников Работников; 

• Клиентов и Контрагентов Компании (физических лиц/
индивидуальных предпринимателей); 

• Представителей/ работников Клиентов и Контрагентов
Компании (юридических лиц); 

• Физических лиц, Пдн которых сделаны ими общедоступными, а
их обработка не нарушает их прав и соответствует требованиям, установленным
Законодательством о Пдн; 

• Физических лиц - пользующихся сервисами, расположенными на
Сайте Компании и передавшие свои персональные данные для обработки Компании с
использованием и без использования средств автоматизации. 

• иных физических лиц, выразивших согласие на обработку
Компанией их Пдн или физических лиц, обработка Пдн которых необходима Компании
для достижения целей, предусмотренных законодательством Российской Федерации,
для осуществления и выполнения возложенных на Компанию функций, полномочий и
обязанностей. 

• Соискатели на замещение вакантных должностей в Компании
(кандидаты); 

• Агенты и представители агентов; 

• Поручители, залогодатели и представители поручителей,
залогодателей; 

• Выгодоприобретатели; 

• Пользователи интернет сайта Компании 

4. Общие принципы обработки персональных данных 

4.1. Компания осуществляет обработку Пдн на основе общих
принципов: 

• законности заранее определенных конкретных целей и
способов обработки Пдн; 

• обеспечения надлежащей защиты ПДн; 

• соответствия целей обработки Пдн целям, заранее
определенным и заявленным при сборе Пдн; 

• соответствия объема, характера и способов обработки Пдн
целям обработки ПДн; 

• достоверности Пдн, их достаточности для целей обработки,
недопустимости обработки Пдн, избыточных по отношению к целям, заявленным при
сборе Пдн; 

• недопустимости объединения баз данных, содержащих Пдн,
обработка которых осуществляется в целях, несовместимых между собой; 

• хранения ПДн в форме, позволяющей определить Субъекта ПДн,
не дольше, чем этого требуют цели их обработки; 

• уничтожения или обезличивания ПДн по достижении целей их
обработки, если срок хранения ПДн не установлен законодательством Российской
Федерации, договором, стороной которого, выгодоприобретателем или поручителем,
по которому является Субъект ПДн; 

• обеспечения конфиденциальности и безопасности
обрабатываемых Пдн. 

Компания вправе осуществлять обработку биометрических персональных
данных субъектов персональных данных. 

4.2. В рамках обработки ПДн для Субъекта ПДн и Компании
определены следующие права. 

4.2.1 Субъект ПДн имеет право: 

• получать информацию, касающуюся обработки его Пдн, в
порядке, форме и сроки, установленные Законодательством о Пдн; 

• требовать уточнения своих Пдн, их Блокирования или
Уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными,
незаконно полученными, не являются необходимыми для заявленной цели обработки
или используются в целях, не заявленных ранее при предоставлении Субъектом Пдн
согласия на обработку Пдн; 

• принимать предусмотренные законом меры по защите своих
прав; 

• отозвать свое согласие на обработку ПДн. 

4.2.2 Компания имеет право: 

• обрабатывать ПДн Субъекта ПДн в соответствии с заявленной
целью; 

• требовать от Субъекта Пдн предоставления достоверных Пдн,
необходимых для исполнения договора, оказания услуги, идентификации Субъекта
ПДн, а также в иных случаях, предусмотренных Законодательством о ПДн; 

• ограничить доступ Субъекта Пдн к его ПДн в случае, если
Обработка ПДн осуществляется в соответствии с законодательством о
противодействии легализации (отмыванию) доходов, полученных преступным путем, и
финансированию терроризма, доступ Субъекта ПДн к его ПДн нарушает права и
законные интересы третьих лиц, а также в иных случаях, предусмотренных
законодательством Российской Федерации; 

• обрабатывать общедоступные ПДн физических лиц; 

• осуществлять обработку ПДн, подлежащих опубликованию или
обязательному раскрытию в соответствии с законодательством Российской
Федерации; 

• поручить обработку ПДн другому лицу с согласия Субъекта
ПДн. 

5. Основные участники системы управления процессом обработки
персональных данных 

5.1. В целях осуществления эффективного управления процессом
обработки ПДн определены основные его участники. 

5.1.1. Компания: определяет, рассматривает и утверждает
политику Компании в отношении обработки ПДн. 

5.1.2. Лицо, ответственное за организацию обработки и защиту
ПДн, назначается приказом по Компании и выполняет следующие функции: 

• разрабатывает, организует и контролирует процесс обработки
Пдн (осуществляемый с использованием средств автоматизации или без
использования таких средств, в том числе на бумажных носителях) в соответствии
с Законодательством о Пдн, настоящей Политикой, внутренними нормативными
документами Компании; 

• осуществляет управление и постоянное совершенствование
процесса обработки Пдн по единым правилам, стандартизацию и тиражирование
процесса; 

• разрабатывает и представляет для утверждения соответствующему
коллегиальному органу Компании внутренние нормативные документы, касающиеся
вопросов обработки Пдн, требований к защите ПДн; 

• организует доведение и (или) доводит до сведения
работников Компании положений Законодательства о ПДн, настоящей Политики,
внутренних нормативных документов Компании по вопросам обработки Пдн,
требований к защите ПДн; 

• осуществляет анализ, оценку и прогноз рисков, связанных с
обработкой ПДн в Компании, выработку мер по снижению рисков; 

• осуществляет оценку влияния процессов на права и свободы
субъектов ПДн; 

• осуществляет анализ автоматизированных систем и процессов
обработки ПДн на предмет соответствия установленным обязательным требованиям в
области обработки и защиты ПДн; 

• осуществляет ведение учета процедур и средств обработки
ПДн; 

• осуществляет контроль наличия и полноты содержания
договоров поручения на обработку ПДн; 

• осуществляет разработку и организацию применения правовых,
организационных и технических мер защиты Пдн от неправомерного или случайного
доступа к ним, уничтожения, изменения, блокирования, копирования,
предоставления, распространения ПДн, а также иных неправомерных действий в
отношении ПДн; 

• осуществляет определение угроз безопасности Пдн при их
обработке; 

• осуществляет организацию и контроль уровня защищенности
информационных систем ПДн; 

• осуществляет оценку эффективности принимаемых мер по
обеспечению безопасности ПДн; 

• разрабатывает внутренние процедуры, направленные на
обеспечение безопасности и защиты Пдн; 

• организует и осуществляет внутренний контроль за
соблюдением оператором и его работниками Законодательства о ПДн, настоящей
Политики, внутренних нормативных документов Компании, требований к защите ПДн; 

• организует прием и обработку обращений и запросов
субъектов ПДн или их представителей и (или) осуществляет контроль за приемом и
обработкой таких обращений и запросов; 

• осуществляет методологическую помощь структурным
подразделениям Компании по вопросам взаимодействия с органами государственной
власти и надзорными органами по вопросам обработки Пдн; 

• осуществляет взаимодействие с органами государственной
власти по вопросам защиты Пдн; 

• осуществляет уведомление надзорного органа в соответствии
с применимыми требованиями о фактах утечки Пдн; 

• организует оповещение субъектов ПДн о фактах утечки их
Пдн. 

5.1.3. Юридический отдел: 

• осуществляет мониторинг законодательства и доведение до
сведения заинтересованных подразделений информации об изменении правовых норм; 

• обеспечивает правовую защиту интересов Компании в судах и
государственных органах по спорам, связанным с обработкой ПДн, а также при
рассмотрении административных дел, связанных с нарушением законодательства в
указанной сфере. 

6. Организация системы управления процессом обработки ПДн 

6.1. Обработка ПДн Субъекта Пдн осуществляется с его
согласия на обработку ПДн, а также без такового, если Обработка ПДн необходима
для исполнения договора, стороной которого либо выгодоприобретателем или
поручителем, по которому является Субъект ПДн, а также для заключения договора
по инициативе Субъекта ПДн или договора, по которому Субъект ПДн будет являться
выгодоприобретателем или поручителем, или в иных случаях, предусмотренных
Законодательством о ПДн. 

6.2. Обработка специальной категории ПДн, касающейся
состояния здоровья Субъекта ПДн осуществляется с согласия Субъекта ПДн на
обработку своих ПДн в письменной форме, а также без такового, если ПДн сделаны
общедоступными Субъектом ПДн. 

6.3. Компания вправе поручить обработку ПДн другому лицу с
согласия Субъекта ПДн, если иное не предусмотрено федеральным законом. Такая
Обработка ПДн осуществляется только на основании договора, заключенного между
Компанией и третьим лицом, в котором должны быть определены: 

• перечень действий (операций) с ПДн, которые будут
совершаться третьим лицом, осуществляющим обработку ПДн; 

• цели обработки ПДн; 

• обязанности третьего лица соблюдать конфиденциальность ПДн
и обеспечивать их безопасность при обработке, а также требования к защите
обрабатываемых ПДн. 

6.4. Информация, относящаяся к персональным данным,
ставшая известной Компании, является конфиденциальной информацией и охраняется
законом. 

Компания и иные лица, получившие доступ к персональным
данным, обязаны не раскрывать третьим лицам и не распространять персональные
данные без согласия субъекта персональных данных, если иное не предусмотрено
федеральным законом. 

 

6.5. Оператор вправе передать
Персональные данные Субъекта третьим лицам, на основании заключаемых между Оператором и
таким третьим лицом договоров,
в следующих случаях:  

  • -для использования Клиентом Сайта и
    приложений; 
  • -для оказания услуг Клиенту; 
  • -в целях обеспечения защиты прав и
    законных интересов Клиента/Субъекта и/или Оператора; 
  • -в целях исполнения обязательств перед
    Клиентом/Субъектом; 
  • -в целях проведения маркетинговых,
    рекламных мероприятий и исследований. 

В случае поручения
обработки персональных данных третьему лицу, объем передаваемых третьему лицу
для обработки персональных данных и количество используемых этим лицом способов
обработки должны быть минимально необходимым и для выполнения им своих
обязанностей перед Оператором. В отношении обработки персональных данных
третьим лицом устанавливается обязанность такого лица соблюдать
конфиденциальность персональных данных и обеспечивать безопасность персональных
данных при их обработке.  

В случае удаления аккаунта Клиента/субъекта, Оператор не
несет ответственности за персональные данные, переданные третьим лицам на
основании заключенных между Оператором и таким третьим лицом договоров,
совершенные до даты удаления аккаунта. 

Компания вправе осуществлять
использование, обработку и передачу, третьим лицам фотоизображений,
видеоизображений, аудиозаписей, которые Пользователь загружает в чат, используя
Программное обеспечение (мобильное приложение) Компании в целях улучшения
качества предоставляемых услуг. При этом Компания обязуется предотвращать
попытки несанкционированного доступа к информации, и/или передачу ее третьим
лицам, не имеющим непосредственного отношения к исполнению заказов, и/или
разработке используемого Пользователем Программного обеспечения. Сообщаем, что
чат-бот включенный в состав Программного обеспечения, реализован на платформе
Webim (webim.ru), далее эти и данные попадают в сервис Chatme (chatme.ai),
конструктивные элементы которого содержатся в разработке и необходимы для
корректной работы Программного обеспечения качественного и оперативного
оказания услуг и взаимодействия с Пользователями. 

6.6. Компания осуществляет передачу ПДн государственным
органам в рамках их полномочий в соответствии с законодательством Российской
Федерации. 

6.7.  

Вся информация, которая собирается сторонними сервисами, в
том числе платёжными системами, средствами связи и другими поставщиками услуг,
хранится и обрабатывается указанными лицами в соответствии с их
пользовательским соглашением и политикой конфиденциальности. Субъект
персональных данных и/или пользователь обязан самостоятельно своевременно
ознакомиться с указанными документами. Компания не несет ответственность за
действия третьих лиц, в том числе указанных в настоящем пункте поставщиков
услуг.  

 

6.8. Доступ к обрабатываемым ПДн предоставляется только тем
Работникам Компании, которым он необходим в связи с исполнением ими своих
должностных обязанностей и с соблюдением принципов персональной
ответственности. 

6.9. Срок обработки персональных данных или условия
прекращения обработки персональных данных: 

• по достижении целей обработки персональных данных или в
случае утраты необходимости в достижении целей обработки персональных данных; 

• по требованию субъекта персональных данных, если
обрабатываемые в Компании персональные данные являются неполными, устаревшими,
неточными, незаконно полученными или не являются необходимыми для заявленной
цели обработки; 

• в случае выявления неправомерной обработки персональных
данных, если обеспечить правомерность обработки персональных данных невозможно; 

• в случае отзыва субъектом персональных данных согласия на
обработку его персональных данных (если персональные данные обрабатываются
Компанией на основании согласия субъекта персональных данных); 

• в случае устранения причин, вследствие которых
осуществлялась обработка персональных данных, если иное не установлено
федеральным законом; 

• в случае ликвидации Компании; 

• по истечении срока, предусмотренного законом, договором,
или согласием Субъекта ПДн на обработку его ПДн.  

6.10. Компания вправе продолжить обработку ПДн без согласия
Субъекта ПДн, если такая обработка предусмотрена договором, стороной которого,
выгодоприобретателем или поручителем, по которому является Субъект ПДн, иным
соглашением между Компанией и Субъектом ПДн, либо если Компания вправе
осуществлять обработку ПДн без согласия Субъекта ПДн на основаниях,
предусмотренных федеральными законами. 

6.11. Обработка ПДн осуществляется с соблюдением
конфиденциальности, под которой понимается обязанность не раскрывать третьим
лицам и не распространять ПДн без согласия Субъекта ПДн, если иное не
предусмотрено законодательством Российской Федерации. 

6.12. Компания обеспечивает конфиденциальность ПДн Субъекта
ПДн со своей стороны, со стороны своих аффилированных лиц, со стороны своих
Работников, имеющих доступ к ПДн физических лиц, а также обеспечивает
использование ПДн вышеуказанными лицами исключительно в целях, соответствующих
закону, договору или иному соглашению, заключенному с Субъектом ПДн. 

6.13. Обеспечение безопасности обрабатываемых ПДн
осуществляется Компанией в рамках единой комплексной системы
организационно-технических и правовых мероприятий по защите информации,
составляющей коммерческую тайну, с учетом требований Законодательства о ПДн,
принятых в соответствии с ним нормативных правовых актов. Система
информационной безопасности Компании непрерывно развивается и совершенствуется
на базе требований международных и национальных стандартов информационной
безопасности, а также лучших мировых практик. 

6.14. В Компании не осуществляется раскрытие персональных
данных неограниченному кругу лиц. 

6.15. В Компании не создаются общедоступные источники
персональных данных субъектов персональных данных. 

6.16. Компания вправе осуществлять трансграничную передачу
персональных данных. При трансграничной передаче персональных данных Компания
обязуется выполнять все требования к осуществлению трансграничной передачи
персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ
«О персональных данных». 

6.17. Персональные данные в Компании уничтожаются в
следующих случаях:  

• в случае достижения целей обработки персональных данных
или в случае утраты необходимости в достижении целей обработки персональных
данных;  

• по требованию субъекта персональных данных, если
обрабатываемые в Компании персональные данные являются неполными, устаревшими,
неточными, незаконно полученными или не являются необходимыми для заявленной
цели обработки;  

• в случае истечения срока хранения персональных
данных;  

• в случае выявления неправомерной обработки персональных
данных субъекта персональных данных, если обеспечить правомерность обработки
персональных данных невозможно;  

• в случае отзыва субъектом персональных данных согласия на
обработку его персональных данных (если персональные данные обрабатываются
Компанией на основании согласия субъекта персональных данных);  

• в случае устранения причин, вследствие которых
осуществлялась обработка персональных данных, если иное не установлено
федеральным законом;  

• в случае ликвидации Компании.  

6.18. В случае уничтожения персональных данных лицо,
ответственное за организацию обработки персональных данных, готовит Акт
уничтожения персональных данных (документов, содержащих персональные данные,
или записей в информационной системе персональных данных). По окончании
процедуры уничтожения в Акте уничтожения персональных данных проставляется
соответствующая отметка.  

6.19. Уничтожение документов, содержащих персональные
данные, осуществляется способом, исключающим возможность восстановления
персональных данных (шредирование, сжигание или иной способ).  

6.20. Информация, содержащая персональные данные в
информационных системах, уничтожается встроенными средствами программного
обеспечения.  

6.21. Персональные данные субъектов персональных данных на
съемных электронных носителях информации уничтожаются путем удаления данных с
указанных носителей.  

6.22. По окончании процедуры уничтожения в Акте уничтожения
персональных данных проставляется соответствующая отметка. 

7. Порядок рассмотрения Компанией обращений субъектов
персональных данных 

7.1. Компания рассматривает обращения субъектов персональных
данных (или их представителей) по вопросам обработки их персональных данных
Компанией, по существу которых предоставляет ответы субъектам персональных
данных (или их представителям). 

Если обращение в отношении персональных данных субъекта
персональных данных получено от представителя субъекта персональных, Компания
проверяет полномочия представителя субъекта персональных данных. 

7.2. В случае выявления неправомерной обработки персональных
данных субъекта персональных данных (персональные данные субъекта персональных
данных являются незаконно полученными или не являются необходимыми для
заявленной цели обработки) – на основании сведений, предоставленных субъектом
персональных данных (или его представителем) Компания в срок, не превышающий 3
(Трех) дней с даты выявления указанного факта блокирует персональные данные
субъекта персональных данных на период проверки. 

Компания обеспечивает правомерность обработки персональных
данных. Если это невозможно, Компания в срок, не превышающий 10 (Десяти) дней с
даты выявления неправомерной обработки персональных данных субъекта
персональных данных осуществляет уничтожение персональных данных в порядке,
установленном настоящей Политикой. 

Компания сообщает об устранении нарушений (неправомерной
обработки персональных данных) или об уничтожении персональных данных субъекту
персональных данных (или его представителю). 

7.3. В случае выявления факта того, что персональных данных
субъекта персональных данных являются неполными, устаревшими, неточными – на
основании сведений, предоставленных субъектом персональных данных (или его
представителем), если блокирование персональных данных не нарушает права и
законные интересы субъекта персональных данных или третьих лиц, Компания с
момента обращения или получения запроса субъекта персональных данных блокирует
персональные данные субъекта персональных данных. Если блокирование
персональных данных нарушает права и законные интересы субъекта персональных
данных или третьих лиц, Компания предоставляет субъекту персональных данных
(или его представителю) соответствующее разъяснение. 

Компания на основании сведений, представленных субъектом
персональных данных (или его представителем), или иных необходимых документов
уточняет персональные данные субъекта персональных данных в течение 7 (Семи)
дней со дня предоставления субъектом персональных данных (или его
представителем) сведений, на основании которых осуществляется уточнение персональных
данных. 

Уточнение персональных данных субъектов персональных данных
при осуществлении их обработки без использования средств автоматизации
производится Компанией путем фиксации на том же материальном носителе сведений
о вносимых в них изменениях либо путем изготовления нового материального
носителя с уточненными персональными данными. Старый материальный носитель
персональных данных уничтожается в порядке, установленном настоящей Политикой. 

7.4. В случае запроса субъектом персональных данных (или его
представителя), связанного с получением сведений, касающихся обработки
персональных данных субъекта персональных данных, Компания в обязательном
порядке осуществляет проверку следующих сведений (информации): 

• запрос касается сведений об обработке персональных данных
самого субъекта персональных данных, осуществившего запрос (или субъекта
персональных данных, чьим представителем является лицо, осуществляющее запрос); 

• запрос содержит информацию о номере основного документа,
удостоверяющего личность субъекта персональных данных (или его представителя),
информацию о дате выдачи указанного документа и выдавшем его органе, а также
информацию, подтверждающую участие субъекта персональных данных в отношениях с
Компанией (номер договора, дата заключения договора, условное словесное
обозначение и/или иные сведения, либо сведения, иным образом подтверждающие
факт обработки персональных данных субъекта персональных данных Компанией),
подпись субъекта персональных данных (или его представителя); 

• право субъекта персональных данных на доступ к его
персональным данным не ограничено в соответствии с федеральными законами
Российской Федерации. 

Если одно, несколько или все указанные в настоявшем пункте
Политики условия не выполняются, Компания предоставляет субъекту персональных
данных (или его представителю) соответствующее разъяснение, содержащее
мотивированный отказ в предоставлении сведений, касающихся обработки его
персональных данных в течение 30 (Тридцати) дней с даты получения
соответствующего обращения субъекта персональных данных (или его
представителя). 

В случае выполнения всех указанных в настоящем пункте
условий Компания предоставляет субъекту персональных данных (или его
представителю) сведения, касающиеся обработки его персональных данных в течение
30 (Тридцати) дней с даты получения соответствующего запроса или обращения
субъекта персональных данных (или его представителя). 

Если запрос субъекта персональных данных (или его
представителя) является повторным, при этом сведения, касающиеся обработки
персональных данных субъекта персональных данных, были предоставлены субъекту
персональных данных (или его представителю) по его запросу, сделанному не
ранее, чем за 30 (Тридцать) дней до повторного запроса, то Компания
предоставляет субъекту персональных данных (или его представителю)
мотивированный отказ. Если повторный запрос осуществлен позднее, чем через 30
(Тридцать) дней после предоставления субъекту персональных данных (или его
представителю) сведений, касающихся обработки персональных данных субъекта
персональных данных, по предыдущему запросу, то Компания предоставляет субъекту
персональных данных (или его представителю) сведения, касающиеся обработки его
персональных данных в течение 30 (Тридцати) дней с даты получения
соответствующего запроса или обращения субъекта персональных данных (или его
представителя). 

7.5. В случае отзыва субъектом персональных данных согласия
на обработку его персональных данных, Компания прекращает обработку
персональных данных субъекта персональных данных, осуществляемую только на основании
его согласия, если сохранение персональных данных субъекта персональных данных
более не требуется для целей обработки персональных данных субъекта
персональных данных. 

Компания в течение 30 (Тридцати) дней с даты получения
отзыва субъекта персональных данных осуществляет уничтожение персональных
данных субъекта персональных данных, обрабатываемых только на основании его
согласия и, если сохранение персональных данных субъекта персональных данных
более не требуется для целей обработки персональных данных. 

8. Заключительные положения 

8.1. Компания, а также его должностные лица и Работники
несут гражданско-правовую, административную и иную ответственность за
несоблюдение принципов и условий обработки ПДн физических лиц, а также за
разглашение или незаконное использование ПДн в соответствии с законодательством
Российской Федерации. 

Текст обновлен, декабрь 2023 года