Политика конфиденциальности

ООО «АХ10»


Настоящая Политика конфиденциальности (далее — «Политика») разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «Закон о персональных данных») и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, а также на установление порядка обработки и защиты персональных данных, получаемых Обществом с ограниченной ответственностью «АХ10», ИНН 7810943359, ОГРН 1227800034978, 196105, город Санкт-Петербург, ул. Кузнецовская, д. 58 к. 1 стр. 1, кв. 704.

Политика применяется ко всей информации, которую ООО «АХ10» может получить о пользователях (субъектах персональных данных) при посещении ими сайта Оператора, а также при взаимодействии с ООО «АХ10» в рамках предоставления консультационных, информационных, маркетинговых и иных сопутствующих услуг.

Политика действует в отношении всех персональных данных, обрабатываемых как с использованием средств автоматизации, так и без них, в том числе полученных посредством интернет-сайта Оператора.

  1. Термины и определения
1.1. Персональные данные (ПДн) — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных), включая, но не ограничиваясь: фамилия, имя, отчество, контактные данные (телефон, e-mail, адрес), дата рождения, IP-адрес, информация о посещениях сайта и иные данные, позволяющие прямо или косвенно идентифицировать Пользователя.
1.2. Субъект персональных данных — физическое лицо, к которому относятся персональные данные и которое может быть идентифицировано на основании этих данных.
1.3. Оператор — Обществом с ограниченной ответственностью «АХ10», ИНН 7810943359, ОГРН 1227800034978, 196105, город Санкт-Петербург, ул. Кузнецовская, д. 58 к. 1 стр. 1, кв. 704, осуществляющее обработку персональных данных и определяющее цели и объем их обработки, а также действия (операции), совершаемые с персональными данными.
1.4. Пользователь — физическое лицо, использующее сайт Оператора, а также иные сервисы, платформы, формы обратной связи, чат-боты, приложения и цифровые ресурсы, администрируемые Оператором.
1.5. Обработка персональных данных — любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без их использования, включающее, в том числе, сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.6. Автоматизированная обработка персональных данных — обработка персональных данных с использованием средств вычислительной техники.
1.7. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (в том числе передача персональных данных или ознакомление с ними неограниченного круга лиц, в том числе через публикацию в сети Интернет, в СМИ и пр.).
1.8. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
1.9. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.10. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и/или уничтожаются материальные носители персональных данных.
1.11. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
1.12. Cookies (куки) — фрагменты данных, направляемые веб-сервером и хранящиеся на устройстве Пользователя, которые применяются для аутентификации, хранения пользовательских настроек, ведения статистики, анализа поведения, обеспечения функционирования сервисов сайта и его персонализации.

1.13. Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2. Общие положения
2.1. Настоящая Политика обработки персональных данных (далее — «Политика») определяет основные цели, принципы, порядок и условия обработки персональных данных, меры по обеспечению их безопасности, а также реализуемые Оператором требования к защите персональных данных в соответствии с законодательством Российской Федерации.
2.2. Настоящая Политика применяется ко всем процессам обработки персональных данных, осуществляемым Обществом с ограниченной ответственностью «АХ10» (Оператор), включая, но не ограничиваясь:
2.3. Настоящая Политика разработана на основании и с учетом требований:
2.4. Пользователь, предоставляя свои персональные данные Оператору, гарантирует их достоверность и актуальность. Пользователь несет ответственность за предоставление заведомо ложных или недостоверных сведений. Оператор вправе, но не обязан, запрашивать документы, подтверждающие достоверность предоставленных данных.
2.5. Оператор обрабатывает персональные данные как в автоматизированной, так и в неавтоматизированной формах, включая их передачу третьим лицам (при наличии законных оснований и соответствующего согласия, если оно необходимо по закону).
2.6. Настоящая Политика распространяется на все персональные данные, полученные Оператором как до, так и после вступления в силу настоящей Политики, независимо от формы их получения.
2.7. Настоящая Политика размещена в открытом доступе на официальном сайте Оператора, а также может быть предоставлена по письменному запросу субъекта персональных данных.
3. Категории субъектов персональных данных
3.1. В рамках своей деятельности ООО «АХ10» (далее — Оператор) осуществляет обработку персональных данных следующих категорий субъектов персональных данных:
3.1.1. Сотрудники и кандидаты
3.1.2. Клиенты и их представители
3.1.4. Пользователи сайта
  • посетители сайта Оператора использующие формы обратной связи, онлайн-формы, оставляющие отзывы, подписывающиеся на рассылки;
  • лица, взаимодействующие с онлайн-сервисами и формами сайта, посредством ввода своих данных (в т.ч., имя, контактный телефон, e-mail и др.);
  • лица, поведение которых на сайте анализируется с использованием файлов cookie, пикселей и иных технологий веб-аналитики (в объеме, не превышающем необходимого для целей, предусмотренных настоящей Политикой и действующим законодательством).
3.1.5. Иные категории
  • субъекты персональных данных, чьи данные были предоставлены третьими лицами с соблюдением требований законодательства (например, в рамках исполнения договора, судебных или иных процедур);
  • иные лица, чьи данные обрабатываются Оператором в пределах прав и обязанностей, вытекающих из законов, договоров или согласия субъекта персональных данных.
4. Цели и основания обработки персональных данных
4.1. Персональные данные работников, бывших работников и кандидатов на замещение вакантных должностей обрабатываются Оператором на основании:
  • подп. 2 п. 1 ст. 6 Федерального закона № 152-ФЗ — обработка необходима для исполнения трудового договора, стороной которого является субъект персональных данных;
  • положений Трудового кодекса РФ и иных нормативных актов, регулирующих трудовые отношения.
Цели обработки:
  • заключение, исполнение, изменение и прекращение трудовых и гражданско-правовых договоров;
  • ведение кадрового делопроизводства (приказы, личные дела, табели, отчеты);
  • оформление отпусков, командировок, расчета заработной платы и иных выплат;
  • оформление социальных и пенсионных льгот, уплата страховых взносов и налогов;
  • представление сведений в СФР, ФНС, Росстат, Минтруд и другие государственные органы;
  • исполнение обязанностей работодателя по охране труда, соблюдению требований трудового законодательства;
  •  обеспечение учета рабочего времени, контроля доступа и безопасности на объекте;
  • содействие обучению, аттестации, профпереподготовке.
4.2. Персональные данные Пользователей, обрабатываемые при использовании сайта https://ax10.ru/, обрабатываются Оператором на основании:
  • подп. 5 п. 1 ст. 6 Федерального закона № 152-ФЗ — обработка необходима для исполнения договора, стороной которого является субъект персональных данных (например, Пользовательское соглашение);
  • на основании согласия субъекта ПДн в случаях, прямо предусмотренных законом.
Цели обработки:
  • обеспечение доступа Пользователей к функциональности сайта, включая Личный кабинет, формы обратной связи, онлайн-запись;
  • заключение и исполнение пользовательских соглашений, включая оказание информационных, консультационных и иных услуг;
  • техническое сопровождение сайта, улучшение качества интерфейса, устранение ошибок;
  • осуществление обратной связи, в том числе с помощью форм заполнения;
  • направление уведомлений, сервисных, юридически значимых и маркетинговых сообщений (при наличии согласия);
  • анализ пользовательского поведения на сайте с целью улучшения пользовательского опыта;
  • хранение пользовательских настроек (в том числе cookies), аутентификация, безопасность сеансов;
  • выполнение требований законодательства РФ, включая защиту прав и интересов Оператора.
4.3. Персональные данные физических лиц — контрагентов и представителей контрагентов Оператора (например, индивидуальных предпринимателей, представителей ИП и самозанятых) обрабатываются на основании:
  • подп. 5 п. 1 ст. 6 Федерального закона № 152-ФЗ — обработка необходима для исполнения договора;
  • положений гражданского, налогового и иного законодательства.
Цели обработки:
  • заключение, исполнение и прекращение договоров (включая договоры оказания услуг, подряда, поставки и др.);
  • исполнение обязательств по расчетам, документообороту и отчетности;
  • направление уведомлений, сообщений, претензий, предложений, возвратов и рекламаций;
  • ведение бухгалтерского учета, налогового учета, финансовой отчетности;
  • взаимодействие по вопросам качества и приемки продукции, оказания услуг, логистики, возвратов.
4.4. Персональные данные представителей юридических лиц-контрагентов обрабатываются на тех же основаниях и в тех же целях, что и данные физлиц, за исключением того, что они предоставляются от имени организации.
4.5. Обработка персональных данных допускается также в иных случаях, если это прямо предусмотрено законодательством Российской Федерации, в том числе:
  • по решению суда, на основании запроса уполномоченных органов;
  • для исполнения предписаний Росздравнадзора, Роспотребнадзора, налоговых и правоохранительных органов;
  • при защите прав и законных интересов Оператора.
4.6. Обработка персональных данных ограничивается достижением конкретных, заранее определённых, законных целей.
  • Не допускается обработка ПДн, несовместимая с заявленными целями сбора.
  • Обработка должна соответствовать принципам минимизации, законности, справедливости и прозрачности.
  • Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в разных целях.
5. Состав обрабатываемой информации
5.1. Оператор обрабатывает следующие персональные данные работников Оператора, уволенных работников, кандидатов на замещение вакантных должностей:
в целях исполнения положений трудового договора, Трудового кодекса Российской Федерации, а также связанных с ним нормативных правовых актов, в т.ч. организации кадрового учета организации, обеспечения соблюдения законов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам; ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучения, пользовании льготами; исполнения требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц, взносов во внебюджетные фонды и страховых взносов во внебюджетные фонды, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование; заполнение первичной статистической документации в соответствии с трудовым, налоговым законодательством и иными федеральными законами: фамилия, имя, отчество (при наличии), год рождения, месяц рождения, дата рождения, место рождения, семейное положение, доходы ,пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, номер расчетного счета, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации),отношение к воинской обязанности, сведения о воинском учете, сведения об образовании, сведения о судимости, данные изображения лица, полученные с помощью фото- видео устройств, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, иные сведения в случаях, установленных законодательством Российской Федерации.
5.2. Оператор обрабатывает следующие персональные данные Пользователей:
  • для целей заключения и исполнения пользовательского соглашения по использованию сайта, соблюдения установленных законодательством Российской Федерации требований, направления уведомлений, информационной, рекламной и маркетинговой рассылки: имя, фамилия (опционально) и отчество (опционально), адрес электронной почты;
  • для целей обработки запросов, касающихся использования сайта, и заявок от Пользователя на получение информации об услугах, на консультацию и пр.: имя, фамилия и отчество (опционально), адрес электронной почты, номер телефона, профиль деятельности (опционально), иная дополнительная информация, предоставляемая Пользователем (опционально);
  • для целей установления обратной связи Пользователя с Оператором: имя, фамилия и отчество (опционально), номер телефона;
  • для целей исправного функционирования сайта, устранения технических и (или) иных неисправностей в работе сайта; улучшения качества функционирования сайта, удобства использования: операционная система, IP-адрес, дата и время доступа, информация о браузере, адрес интернет-ресурса, с которого Субъект был направлен на сайт, адрес электронной почты;
  • • для целей аутентификации Пользователя сайта, в том числе хранения персональных
  • предпочтений и настроек, отслеживания состояния сеанса доступа, ведения
  • статистики относительно пользователей сайта: данные из cookies;
  • для других целей: иные данные по согласованию с Пользователем и необходимые для решения вопросов Пользователя в зависимости от обстоятельств (информация, необходимая для предоставления услуг или оказания технической поддержки и т.д.)
5.3. Оператор обрабатывает следующие персональные данные контрагентов и представителей контрагентов (физических лиц):
  • для целей заключения, исполнения и прекращения договора, заключенного между контрагентом и Оператором: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, гражданство, данные документа, удостоверяющего личность, данные документа, содержащиеся в свидетельстве о рождении, номер расчетного счета, данные изображения лица, полученные с помощью фото- видео устройств, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, номер расчетного счета; иные сведения, определенные сторонами или предусмотренные законодательством Российской Федерации;
  • для целей продвижения услуг Оператора, в том числе направления уведомлений, информационной, рекламной и маркетинговой рассылки: имя, фамилия и отчество (опционально), номер телефона, адрес электронной почты;
5.4. Оператор обрабатывает следующие персональные данные контрагентов и представителей контрагентов (юридических лиц): для целей заключения, исполнения и прекращения договора, заключенного между контрагентом и Оператором: фамилия, имя, отчество, пол, адрес электронной почты, номер телефона, данные документа, удостоверяющего личность, занимаемая должность, сведения об участии в управлении хозяйствующим субъектом, иные сведения, определенные сторонами или предусмотренные
законодательством Российской Федерации.
5.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
5.6. Персональные данные могут быть использованы с иными целями, если это является обязательным в соответствии с положениями законодательства Российской Федерации.
6. Права субъекта персональных данных
6.1. Субъект персональных данных вправе реализовывать предусмотренные законодательством Российской Федерации права, в том числе, но не ограничиваясь:
6.1.1. Получать от Оператора информацию, касающуюся обработки его персональных данных, включая:
● подтверждение факта обработки персональных данных Оператором;
● правовые основания и цели обработки персональных данных;
● применяемые Оператором способы обработки персональных данных;
● наименование и местонахождение Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании закона;
● обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, и источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
● сроки обработки персональных данных, в том числе сроки их хранения;
● порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ;
● информацию о предполагаемой трансграничной передаче персональных данных.
6.1.2. Требовать от Оператора уточнения (актуализации), блокирования или уничтожения своих персональных данных в случае, если:
● данные являются неполными, устаревшими, неточными;
● обрабатываются незаконно;
● являются избыточными по отношению к заявленным целям обработки.
6.1.3. Обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) либо в судебном порядке, если субъект считает, что Оператор нарушил его права и законные интересы.
6.1.4. Отозвать согласие на обработку персональных данных в порядке, предусмотренном законодательством, если обработка осуществляется на основании согласия, путем направления письменного уведомления на адрес Оператора либо иным предусмотренным способом.
6.1.5. Требовать извещения всех лиц, которым ранее были предоставлены его персональные данные, о внесенных изменениях, блокировании или уничтожении таких данных, если это не нарушает законные интересы третьих лиц.
6.1.6. Иметь доступ к своим персональным данным, в том числе право на получение копии любой записи, содержащей его персональные данные, за исключением случаев, установленных федеральным законом.
6.1.7. Требовать прекращения обработки персональных данных (в том числе удаления), если цель обработки достигнута либо отпала необходимость в их обработке, за исключением случаев, предусмотренных законом.
6.1.8. Получать сведения об осуществляемой автоматизированной обработке персональных данных и о наличии решений, принятых исключительно на ее основе, и при необходимости — настаивать на пересмотре такого решения с участием человека.

7. Сведения о реализуемых требованиях к защите персональных данных
7.1. При обработке персональных данных Оператор принимает необходимые правовые, организационные и технические меры и обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, которыми являются в частности (но не ограничиваясь):
7.1.1. назначение ответственного за обработку персональных данных;
7.1.2. ограничение состава работников, имеющих доступ к персональным данным; 7.1.3. осуществление антивирусного контроля и иных мер защиты от вредоносного программно- математического воздействия;
7.1.4. применение средств резервного копирования и восстановления информации; 7.1.5. обновление программного обеспечения при наличии исправлений безопасности от производителей;
7.1.6. осуществление шифрования при передаче персональных данных в сети Интернет; 7.1.7. принятие мер, связанных с допуском только надлежащих лиц в местах установки технических средств;
7.1.8. применение технических средств охраны помещений, в которых расположены технические средства информационных систем персональных данных, и мест хранения материальных носителей персональных данных.

8. Конфиденциальность персональных данных
8.1. Все сведения, относящиеся к персональным данным, переданные субъектами персональных данных Оператору, признаются конфиденциальной информацией и подлежат защите в соответствии с законодательством Российской Федерации.
8.2. Оператор, а также иные лица, получившие доступ к персональным данным на основании договора или иного законного основания, обязаны соблюдать режим конфиденциальности и не раскрывать персональные данные третьим лицам без письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.
8.3. Режим конфиденциальности распространяется на все этапы обработки персональных данных, включая их сбор, запись, систематизацию, накопление, хранение, уточнение, использование, обезличивание, блокирование, уничтожение и удаление.
8.4. Конфиденциальность персональных данных обеспечивается независимо от формы их представления (бумажной, электронной, устной и т. п.) и способа обработки (автоматизированный, неавтоматизированный, смешанный).
8.5. Оператор принимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных, включая защиту от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
8.6. К числу мер, обеспечивающих конфиденциальность персональных данных, относятся:
● Назначение ответственного лица за организацию обработки персональных данных.
● Разработка и утверждение локальных нормативных актов, регламентирующих порядок обработки и защиты персональных данных.
● Ограничение доступа сотрудников к персональным данным на основе принципа «необходимости знать».
● Ведение учета всех операций с персональными данными.
● Использование средств защиты информации, прошедших процедуру оценки соответствия.
● Обучение работников, допущенных к обработке персональных данных, по вопросам обеспечения их безопасности.
● Подписание работниками соглашений о неразглашении персональных данных.
● Учет и хранение материальных носителей информации, содержащих персональные данные, с обеспечением условий, исключающих несанкционированный доступ.Применение антивирусных и иных средств защиты ИТ-инфраструктуры.
● Контроль за действиями пользователей в информационных системах персональных данных.Применение мер по резервному копированию и восстановлению персональных данных.
● Регистрация и учет инцидентов, связанных с нарушением режима конфиденциальности.
● Проведение внутреннего аудита и оценки соответствия обработки персональных данных требованиям законодательства.
● Заключение договоров о конфиденциальности с подрядчиками, участвующими в обработке персональных данных.
● Проведение инструктажей и проверок знаний по вопросам защиты персональных данных среди персонала.
● Контроль физического доступа в помещения, где осуществляется обработка персональных данных.
● Учет и контроль использования съемных носителей информации.
● Удаление персональных данных с электронных носителей перед их утилизацией.
● Установление срока хранения персональных данных и порядка их уничтожения.
● Проведение регулярной актуализации угроз безопасности персональных данных и соответствующих мер реагирования.
8.7. Оператор обязан обеспечить сохранность конфиденциальности персональных данных и принять все возможные меры, исключающие доступ к ним третьих лиц без законных оснований.
8.8. В случае разглашения персональных данных вследствие действий (или бездействия) Оператора, нарушившего режим конфиденциальности, субъект персональных данных вправе обратиться с требованием о защите своих прав в Роскомнадзор и/или в суд.
8.9. Условия конфиденциальности сохраняют свою силу в течение всего срока хранения персональных данных и в течение 5 (пяти) лет после прекращения их обработки, если иное не установлено федеральным законом.

9. Порядок блокирования и уничтожения персональных данных
9.1. Общество блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.
9.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.
9.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение семи рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.
9.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления факта неправомерной обработки.
9.5. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и Обществом либо если Общество не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
9.5.1. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.
9.6. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем, по которому) является субъект персональных данных, иное соглашение между ним и Обществом. Кроме того, персональные данные уничтожаются в указанный срок, если Общество не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
9.7. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют подразделения Общества, обрабатывающие персональные данные.
9.8. Уничтожение персональных данных осуществляет комиссия, созданная приказом Генерального директора.
9.8.1. Комиссия составляет список с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
9.8.2. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
9.8.3. Комиссия подтверждает уничтожение персональных данных, указанных в п. п. 9.4, 9.5, 9.6 Положение, согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 N 179, а именно:
● актом об уничтожении персональных данных - если данные обрабатываются без использования средств автоматизации;
● актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных - если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств.
● Акт может составляться на бумажном носителе или в электронной форме, подписанной электронными подписями.
● Формы акта и выгрузки из журнала с учетом сведений, которые должны содержаться в указанных документах, утверждаются приказом Генерального директора.
9.8.4. После составления акта об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных комиссия передает их в общий отдел для последующего хранения. Акты и выгрузки из журнала хранятся в течение трех лет с момента уничтожения персональных данных.
9.8.5. Уничтожение персональных данных, не указанных в п. 9.8.3 Положения, подтверждается актом, который оформляется непосредственно после уничтожения таких данных. Форма акта утверждается приказом Генерального директора.
10. Защита персональных данных. Процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений
10.1. Без письменного согласия субъекта персональных данных Общество не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом.
10.1.1. Запрещено раскрывать и распространять персональные данные субъектов персональных данных по телефону.
10.2. С целью защиты персональных данных в Общества приказами Генерального директора назначаются (утверждаются):
● Политика в отношении обработки персональных данных;
● Политика конфиденциальности;
●Форма согласия субъекта персональных данных на обработку его (ее) персональных данных;
● Форма запроса субъекта персональных данных с отзывом согласия на обработку персональных данных;
● Приказ о назначении ответственного лица за обработку персональных данных;
● иные локальные нормативные акты, принятые в соответствии с требованиями законодательства в области персональных данных.
10.3. Работники, которые занимают должности, предусматривающие обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении.
10.4. Материальные носители персональных данных хранятся в шкафах, запирающихся на ключ. Помещения Общества, в которых они размещаются, оборудуются запирающими устройствами.
10.5. Доступ к персональной информации, содержащейся в информационных системах Общества, осуществляется по индивидуальным паролям.
10.6. В Обществе используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
10.7. Работники Общества, обрабатывающие персональные данные, периодически проходят обучение требованиям законодательства в области персональных данных.
10.8. В должностные инструкции работников Общества, обрабатывающих персональные данные, включаются, в частности, положения о необходимости сообщать о любых случаях несанкционированного доступа к персональным данным.
10.9. В Обществе проводятся внутренние расследования в следующих ситуациях:
● при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;
● в иных случаях, предусмотренных законодательством в области персональных данных.
10.10.Работник, ответственный за организацию обработки персональных данных, осуществляет внутренний контроль:
● за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства в области персональных данных, локальных нормативных актов;
● соответствием указанных актов требованиям законодательства в области персональных данных.
● Внутренний контроль проходит в виде внутренних проверок.
10.10.1. Внутренние плановые проверки осуществляются на основании ежегодного плана, который утверждается Генеральным директором.
10.10.2. Внутренние внеплановые проверки осуществляются по решению работника, ответственного за организацию обработки персональных данных. Основанием для них служит информация о нарушении законодательства в области персональных данных, поступившая в устном или письменном виде.
10.10.3. По итогам внутренней проверки оформляется докладная записка на имя Генерального директора. Если выявлены нарушения, в документе приводится перечень мероприятий по их устранению и соответствующие сроки.
10.11. Внутреннее расследование проводится, если выявлен факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент).
10.11.1. В случае инцидента, Общество в течение 24 часов уведомляет Роскомнадзор:
● об инциденте;
● его предполагаемых причинах и вреде, причиненном правам субъекта (нескольким субъектам) персональных данных;
● принятых мерах по устранению последствий инцидента;
● представителе Общества, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.
При направлении уведомления нужно руководствоваться Порядком и условиями взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных, утвержденными Приказом Роскомнадзора от 14.11.2022 N 187.
10.11.2. В течение 72 часов Общество обязано сделать следующее:
● уведомить Роскомнадзор о результатах внутреннего расследования;
● предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).
10.12. В случае предоставления субъектом персональных данных (его представителем) подтвержденной информации о том, что персональные данные являются неполными, неточными или неактуальными, в них вносятся изменения в течение семи рабочих дней. Общество уведомляет в письменном виде субъекта персональных данных (его представителя) о внесенных изменениях и сообщает (по электронной почте) о них третьим лицам, которым были переданы персональные данные.
10.13. Общество уведомляет субъекта персональных данных (его представителя) об устранении нарушений в части неправомерной обработки персональных данных. Уведомляется также Роскомнадзор, если он направил обращение субъекта персональных данных (его представителя) либо сам сделал запрос.
10.13.1. В случае уничтожения персональных данных, которые обрабатывались неправомерно, уведомление направляется в соответствии с п. 9.13 Положения.
10.14. В случае уничтожения персональных данных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, Общество уведомляет субъекта персональных данных (его представителя) о принятых мерах в письменном виде. Общество уведомляет по электронной почте также третьих лиц, которым были переданы такие персональные данные.
11. Передача и трансграничная передача персональных данных
11.1. Оператор не осуществляет трансграничную передачу персональных данных, за исключением случаев, предусмотренных действующим законодательством Российской Федерации, либо при наличии надлежащего согласия субъекта персональных данных и соблюдении требований статьи 12 Федерального закона № 152-ФЗ.
11.2. Все операции по обработке и хранению персональных данных субъектов осуществляются исключительно с использованием баз данных, расположенных на территории Российской Федерации.
11.3. Персональные данные субъектов персональных данных хранятся преимущественно на электронных носителях, в том числе в составе информационных систем персональных данных, и используются Оператором исключительно в пределах установленных целей обработки.
11.4. Оператор вправе передавать персональные данные третьим лицам в следующих случаях:
● на основании письменного согласия субъекта персональных данных;
● если передача необходима для исполнения договора, стороной которого является субъект персональных данных (в том числе по поручению субъекта);
● для реализации законных интересов Оператора, при условии, что это не нарушает права и свободы субъекта персональных данных;
● если передача осуществляется органам государственной власти, органам дознания и следствия, иным уполномоченным органам, в порядке, установленном законодательством Российской Федерации;иным лицам, если это предусмотрено федеральным законом.
11.5. Передача персональных данных третьим лицам допускается при условии, что такие лица обеспечивают конфиденциальность и безопасность персональных данных и соблюдают требования законодательства Российской Федерации в сфере персональных данных.
11.6. Перечень категорий лиц, которым могут передаваться персональные данные, включает (но не ограничивается):
● уполномоченные сотрудники Оператора;
● подрядчики и исполнители, оказывающие Оператору услуги (например, ИТ-поддержка, хостинг, бухгалтерия, юристы, колл-центры);
● кредитные и платежные организации, обеспечивающие оплату услуг Оператора;
● организации, осуществляющие доставку документов и корреспонденции;
● операторы фискальных данных;
● государственные органы по соответствующим основаниям.
11.7. При передаче персональных данных третьим лицам, Оператор заключает с такими лицами договор (поручение на обработку персональных данных), содержащий обязательные условия, предусмотренные частью 3 статьи 6 Федерального закона № 152-ФЗ, в том числе:
● перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом;
● цели обработки;
● обязанность третьего лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке;
● требования к обеспечению защиты персональных данных, установленные Постановлением Правительства РФ от 01.11.2012 № 1119.
11.8. Оператор обязуется осуществлять контроль за соблюдением третьими лицами условий обработки персональных данных и требований к обеспечению их безопасности, в том числе путем проведения периодических проверок.
11.9. Оператор не осуществляет трансграничную передачу персональных данных в государства, не обеспечивающие адекватной защиты прав субъектов персональных данных, за исключением случаев:
● если субъект персональных данных дал письменное согласие на такую передачу;
● если передача необходима для исполнения международного договора Российской Федерации;
● если передача предусмотрена федеральным законом;
● если передача необходима для защиты жизни, здоровья, других жизненно важных интересов субъекта персональных данных или иных лиц, и получение согласия невозможно;
● если передача осуществляется в целях исполнения договора с субъектом персональных данных.
11.10. Передача персональных данных за пределы Российской Федерации может быть осуществлена Оператором только после того, как будет получено письменное подтверждение от получателя персональных данных о соблюдении им требований к обеспечению адекватной защиты персональных данных.

12.Заключительные положения
12.1 Срок обработки персональных данных, обрабатываемых Оператором, определяется организационно-распорядительными документами Оператора в соответствии с положениями Федерального закона «О персональных данных».
12.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных актов по обработке и защите персональных данных, а также по решению Оператора.
12.3. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных.
12.4. Вопросы, не урегулированные настоящей Политикой, регулируются действующим законодательством Российской Федерации.

Полное наименование:

Общество с ограниченной ответственностью «АХ10»

Юридический адрес:

196105, город Санкт-Петербург,

ул. Кузнецовская, д. 58 к. 1 стр. 1, кв. 704

ОГРН:

1227800034978

ИНН/КПП:

7810943359 / 781001001

Телефон:

+7 909 688-29-42

Электр. адрес:

s.martyushev@ax10.ru

Генеральный директор:

Мартюшев Сергей Валентинович

Made on
Tilda