Политика конфиденциальности сайта altirixgroup.com
1 ОБЩИЕ ПОЛОЖЕНИЯ
1.1 Настоящая политика конфиденциальности (далее – Политика) составлена в соответствии с требованиями Федерального закона от 27.07.2006. № 152-ФЗ «О персональных данных» (далее – 152-ФЗ) и определяет порядок обработки персональных данных (далее – ПДн) на сайте altirixgroup.com (далее – Сайт) и меры по обеспечению безопасности ПДн, предпринимаемые ООО «Альтирикс системс» (далее – Оператор).
1.2 Настоящая Политика применяется исключительно к Сайту. Оператор не контролирует и не несет ответственность за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на сайте.
2 ОСНОВНЫЕ ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В ПОЛИТИКЕ
2.1 Автоматизированная обработка ПДн — обработка ПДн с помощью средств вычислительной техники.
2.2 Блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
2.3 Сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу altirixgroup.com.
2.4 Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
2.5 Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
2.6 ПДн — любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю Сайта.
2.7 ПДн, разрешенные субъектом ПДн для распространения – ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном 152-ФЗ.
2.8 Пользователь — любой посетитель Сайта.
2.9 Предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
2.10 Трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
2.11 Уничтожение ПДн – любые действия, в результате которых ПДн уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания ПДн в информационной системе ПДн и/или уничтожаются материальные носители ПДн.
3 ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА
3.1 Оператор имеет право:
-
получать от субъекта ПДн достоверные информацию и/или документы, содержащие ПДн;
-
в случае отзыва субъектом ПДн согласия на обработку ПДн, а также, направления обращения с требованием о прекращении обработки ПДн, Оператор вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в 152-ФЗ;
-
самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено 152-ФЗ или другими федеральными законами.
3.2 Оператор обязан:
-
предоставлять субъекту ПДн по его просьбе информацию, касающуюся обработки его ПДн;
-
организовывать обработку ПДн в порядке, установленном действующим законодательством Российской Федерации;
-
отвечать на обращения и запросы субъектов ПДн и их законных представителей в соответствии с требованиями 152-ФЗ;
-
сообщать в уполномоченный орган по защите прав субъектов ПДн по запросу этого органа необходимую информацию в течение 10 дней с даты получения такого запроса;
назначить лицо, ответственное за организацию обработки ПДн;
-
публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки ПДн;
-
принимать меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и внутренних нормативных документов Оператора в области ПДн;
-
принимать правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
-
прекратить передачу (распространение, предоставление, доступ) ПДн, прекратить обработку и уничтожить ПДн в порядке и случаях, предусмотренных 152-ФЗ.
4 ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1 Субъекты ПДн имеют право:
-
свободно, своей волей и в своем интересе предоставлять свои ПДн и давать согласие на их обработку;
-
получать информацию, касающуюся обработки своих ПДн, в порядке, форме и в сроки, установленные 152-ФЗ;
-
требовать уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки;
-
требовать прекращения обработки своих ПДн;
-
требовать прекращения обработки своих ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи;
-
отозвать свое согласие на обработку ПДн;
-
принимать предусмотренные законодательством о ПДн меры по защите своих прав и законных интересов, в том числе право на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
-
обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке, если считает, что Оператор осуществляет обработку его ПДн с нарушением требований 152-ФЗ или иным образом нарушает его права и свободы.
4.2 Субъекты ПДн обязаны:
-
предоставлять Оператору достоверные данные о себе;
-
сообщать Оператору об уточнении (обновлении, изменении) своих ПДн.
4.3 Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте ПДн без согласия последнего, несут ответственность в соответствии с законодательством Российской Федерации.
5 ПОРЯДОК НАПРАВЛЕНИЯ СУБЪЕКТОМ ПЕРСОНАЛЬНЫХ ДАННЫХ ОБРАЩЕНИЙ И ЗАПРОСОВ ОПЕРАТОРУ
5.1 Для реализации своих прав субъект ПДн может направить обращение или запрос Оператору.
5.2 В соответствии с требованиями 152-ФЗ запрос (обращение) субъекта ПДн или его законного представителя должен содержать следующую информацию:
-
серию, номер документа, удостоверяющего личность субъекта ПДн (его представителя), сведения о дате выдачи указанного документа и выдавшем его органе;
-
сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором;
-
подпись субъекта ПДн (его представителя);
-
в случае, если запрос направлен представителем субъекта ПДн, он должен содержать документ (копию документа), подтверждающий полномочия данного представителя.
5.3 Субъект ПДн может направить свой запрос (обращение) Оператору путем письменного запроса по адресу: 197022, СПб, Медиков пр-т, д. 3, лит. А, пом. 1Н, оф. 311 или на адрес электронной почты: Info@altirix.ru.
6 ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1 Обработка ПДн осуществляется на законной и справедливой основе.
6.2 Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
6.3 Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
6.4 Обработке подлежат только ПДн, которые отвечают целям их обработки.
6.5 Содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых ПДн по отношению к заявленным целям их обработки.
6.6 При обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Оператор принимает необходимые меры и/или обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
6.7 Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн. Обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
7 ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1 Оператор обрабатывает ПДн в следующих целях:
7.1.1 Цель №1 Публикация новостей Общества:
-
Категории обрабатываемых ПДн: иные.
-
Перечень обрабатываемых ПДн: имя, фамилия, должность, фотография.
-
Категории субъектов ПДн: работники Общества.
-
Способы обработки ПДн: автоматизированная.
-
Сроки обработки и хранения: до достижения целей обработки ПДн, либо до момента отзыва согласия.
-
Порядок уничтожения ПДн: приведен в разделе 7.2.
7.1.2 Цель № 2 Получение обратной связи по предоставляемым услугам и работам:
-
Категории обрабатываемых ПДн: иные.
-
Перечень обрабатываемых ПДн: фамилия, имя, отчество, контактный телефон, электронная почта, место работы.
-
Категории субъектов ПДн: посетители сайта.
-
Способы обработки ПДн: автоматизированная.
-
Сроки обработки и хранения: до достижения целей обработки ПДн, либо до момента отзыва согласия.
-
Порядок уничтожения ПДн: приведен в разделе 7.2.
7.1.3 Цель № 3 Обработка cookie-файлов и анализ статистики пользования сайтом:
-
Категории обрабатываемых ПДн: иные.
-
Перечень обрабатываемых ПДн: два байта IP-адреса системы пользователя; адрес посещаемой страницы сайта; страницы, на которые пользователь перешел с запрошенной страницы; время, проведенное на сайте; частота посещений сайта.
-
Категории субъектов ПДн: посетители сайта.
-
Способы обработки ПДн: автоматизированная.
-
Сроки обработки и хранения: до достижения целей обработки ПДн, либо до момента отзыва согласия.
-
Порядок уничтожения ПДн: приведен в разделе 7.2.
7.1.4 Цель № 4 Подбор кандидатов на вакантные должности:
-
Категории обрабатываемых ПДн: иные.
-
Перечень обрабатываемых ПДн: фамилия, имя, отчество, контактный телефон, электронная почта.
-
Категории субъектов ПДн: соискатели.
-
Способы обработки ПДн: автоматизированная.
-
Сроки обработки и хранения: до достижения целей обработки ПДн, либо до момента отзыва согласия.
-
Порядок уничтожения ПДн: приведен в разделе 7.2.
7.2 Уничтожение ПДн для всех целей обработки ПДн осуществляется следующими способами:
7.2.1 Оператор прекращает обработку ПДн, уничтожает носители ПДн и удаляет их из информационных систем ПДн в случаях:
-
достижения целей обработки ПДн или максимальных сроков хранения – в течение 30 дней;
-
утраты необходимости в достижении целей обработки ПДн – в течение 30 дней;
-
предоставление субъектом ПДн или его законным представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки – в течение 7 дней;
-
невозможности обеспечения правомерности обработки ПДн – в течение 10 дней;
-
отзыва субъектом ПДн согласия на обработку его ПДн – в течение 30 дней;
-
истечения сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка ПДн.
7.2.2 В соответствии со статьей 21, частью 5 152-ФЗ Оператор не прекращает обработку ПДн и не уничтожает их в следующих случаях:
-
если иное предусмотрено договором, стороной которого, является субъект ПДн;
-
если Оператор вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных законодательством Российской Федерации;
-
если не истекли сроки обработки ПДн субъекта ПДн, установленные законодательством Российской Федерации.
7.2.3 Уничтожение ПДн, обрабатываемых автоматизированным способом, организует комиссия по уничтожению ПДн из состава работников Оператора, создаваемая приказом. ПДн уничтожаются средствами операционной системы и/или системы управления базами данных. Документами, подтверждающими уничтожение ПДн субъектов ПДн, обрабатываемых автоматизированным способом, являются акт об уничтожении ПДн и выгрузка из журнала регистрации событий в информационной системе ПДн.
7.2.4 Уничтожение ПДн, обрабатываемых без использования средств автоматизации, организует комиссия по уничтожению ПДн из состава работников Оператора, создаваемая приказом. ПДн уничтожаются путем механического нарушения целостности носителя ПДн, не позволяющего произвести считывание или восстановление ПДн, или удалением с электронных носителей методами и средствами гарантированного удаления информации. Документом, подтверждающим уничтожение ПДн субъектов ПДн, является акт об уничтожении ПДн.
7.2.5 Акт об уничтожении ПДн и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения ПДн.
8 УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1 Обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн.
8.2 Доступ к обрабатываемым ПДн разрешается только работникам, занимающим должности, включенные в перечень должностей работников Оператора, замещение которых предусматривает осуществление обработки ПДн.
8.3 Трансграничная передача ПДн не осуществляется.
8.4 Обработка биометрических ПДн и специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, на Сайте не осуществляется.
8.5 Оператор не осуществляет обработку ПДн в целях политической агитации.
8.6 При обработке ПДн, полученных посредством Сайта, Оператор использует базы данных, находящиеся на территории Российской Федерации.
8.7 Оператор не проверяет достоверность информации, предоставляемой Пользователем, и исходит из того, что Пользователь предоставляет достоверную и достаточную информацию, контролирует ее актуальность.
8.8 В случае выявления факта обработки неточных ПДн или их неправомерной обработки, обеспечивается уточнение и блокировка ПДн соответственно.
8.9 Предоставление ПДн субъектов органам государственной власти, органам местного самоуправления, а также иным уполномоченным органам допускается в случаях и на основаниях, предусмотренных законодательством Российской Федерации.
8.10 Передача ПДн между структурными подразделениями Оператора осуществляется только между работниками, имеющими доступ к ПДн субъектов ПДн.
8.11 Представителю субъекта (в том числе родственникам или членам семьи) ПДн субъекта передаются в порядке, установленном действующим законодательством Российской Федерации, при наличии документов, подтверждающих полномочия таких представителей, и документов, удостоверяющих личность представителя.
8.12 Передача ПДн субъекта третьему лицу осуществляется только с согласия субъекта.
8.13 При передаче ПДн третьим лицам, которые на основании договоров осуществляют обработку ПДн, в порядке, установленном законодательством Российской Федерации, Оператор ограничивает эту информацию только теми ПДн, которые необходимы для выполнения указанными лицами их функций (услуг, работ).
9 ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ
9.1 В рамках достижения целей обработки ПДн, изложенных в разделе 7 настоящей Политики, Оператор может передавать ПДн третьим лицам, а именно:
-
ООО «Яндекс», в связи с использованием метрического сервиса Яндекс Метрика в целях ведения статистики и анализа работы сайта;
-
АО «Региональный Сетевой Информационный центр», в связи с хостингом сайта.
9.2 Оператор вправе передавать ПДн органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
10 КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1 Доступ к ПДн ограничивается в соответствии с законодательством Российской Федерации.
10.2 В соответствии с настоящей Политикой ПДн субъектов являются конфиденциальной информацией.
10.3 Доступ к обрабатываемым ПДн предоставляется только тем работникам Оператора, которым он необходим в связи с исполнением ими своих должностных обязанностей.
10.4 Работники Оператора, получившие доступ к ПДн, принимают на себя обязательства по обеспечению конфиденциальности и безопасности обрабатываемых ПДн.
10.5 Оператор не раскрывает третьим лицам и не распространяет ПДн без согласия на это субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.
10.6 Третьи лица, получившие доступ к ПДн, или осуществляющие обработку ПДн по поручению Оператора, обязуются соблюдать требования договоров и соглашений с Оператором в части обеспечения конфиденциальности и безопасности ПДн.
11 БЕЗОПАСНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1 Безопасность ПДн Оператора обеспечивается с помощью системы защиты ПДн, включающей организационные и технические меры.
11.2 В целях обеспечения безопасности ПДн выполняются следующие мероприятия:
-
систематическая оценка угроз безопасности ПДн при их обработке в информационных системах ПДн;
-
оценка причинения вреда и (или) нанесения ущерба субъектам ПДн в случае нарушения законодательства о ПДн;
-
определение необходимого уровня защищенности ПДн, обрабатываемых в информационных системах Оператора, в соответствии с Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
-
разграничение доступа к информационным системам ПДн, материальным носителям (документам), съемным (машинным) носителям ПДн;
-
регистрация и учет действий пользователей и администраторов информационных систем ПДн, программными средствами обработки, передачи и защиты информации;
-
предотвращение внедрения в информационные системы Оператора вредоносных программ;
-
использование защищенных каналов связи;
-
резервирование и восстановление работоспособности технических средств и программного обеспечения, баз данных и средств защиты информационных систем;
-
исключение возможности бесконтрольного прохода в помещения Оператора, где размещены технические средства, позволяющие осуществлять обработку ПДн, а также хранятся носители ПДн;
-
выявление инцидентов, связанных с нарушением требований по обработке и обеспечению безопасности ПДн, и реагирование на них;
-
повышение уровня знаний работников Оператора в сфере обработки и обеспечения безопасности ПДн;
-
проведение внутренних и внешних проверок (аудитов) соответствия безопасности ПДн требованиям настоящей Политики, требованиям 152-ФЗ;
-
оценка эффективности принимаемых мер по обеспечению безопасности ПДн и совершенствование системы защиты ПДн.
12 УВЕДОМЛЕНИЕ УПОЛНОМОЧЕННОГО ОРГАНА ПО ЗАЩИТЕ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1 В случаях, установленных 152-ФЗ, Оператор направляет уведомление об обработке ПДн в уполномоченный орган по защите прав субъектов ПДн.
12.2 В случае изменений сведений об обработке ПДн Оператор уведомляет об этом уполномоченный орган по защите прав субъектов ПДн в порядке и сроки, установленные частью 7 статьи 22 152-ФЗ.
12.3 В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, Оператор с момента выявления такого инцидента, уведомляет уполномоченный орган по защите прав субъектов ПДн:
-
в течение 24 (двадцати четырех) часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов ПДн, по вопросам, связанным с выявленным инцидентом;
-
в течение 72 (семидесяти двух) часов о результатах внутреннего расследования выявленного инцидента, а также о лицах, действия которых стали причиной выявленного инцидента (при наличии).
12.4 Оператор сообщает по запросу уполномоченного органа по защите прав субъектов ПДн необходимую информацию в течение 10 (десяти) рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес уполномоченного органа по защите прав субъектов ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
13 ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
13.1 Политика является общедоступным документом и подлежит размещению на сайте altirixgroup.com
13.2 Оператор имеет право вносить изменения в настоящую Политику в одностороннем порядке в следующих случаях:
-
при изменении законодательства Российской Федерации в области обработки и защиты ПДн;
-
в случаях получения предписаний на устранение несоответствий, затрагивающих область действия Политики;
-
по решению руководства Оператора;
-
при изменении целей обработки ПДн;
-
при применении технологий обработки ПДн;
-
при появлении необходимости в изменении процесса обработки ПДн, связанной с деятельностью Оператора.
13.3 Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки ПДн.
13.4 Лица, виновные в нарушении норм, регулирующих обработку и защиту ПДн, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, определенном законодательством Российской Федерации.
