Политика конфиденциальности

1. ОБЩИЕ ПОЛОЖЕНИЯ 

1.1. Настоящее положение по вопросам обработки персональных данных (далее – «Положение») разработано и применяется в Обществе с ограниченной ответственностью «Агентство гуманитарных технологий» (далее – «Оператор») в соответствии с п.2 ч.1 ст.18.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее – «Закон о персональных данных»). 

1.2. Настоящее Положение определяет политику Оператора в отношении обработки персональных данных физических лиц, передавших свои персональные данные для обработки Оператору с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств (далее – «субъекты персональных данных»), порядок и условия осуществления обработки, а также устанавливает процедуры, направленные на предотвращение нарушений законодательства Российской Федерации, связанных с обработкой персональных данных, и устранение последствий подобных нарушений. 

1.3. Положение разработано с целью обеспечения защиты прав и свобод субъектов персональных данных при обработке их персональных данных, а также с целью установления ответственности должностных лиц Оператора, имеющих доступ к персональным данным субъектов персональных данных, за невыполнение требований и норм, регулирующих обработку персональных данных. 

1.4. Действие настоящего Положения не распространяется на отношения: 

  • возникающие при обработке персональных данных сотрудников Оператора, поскольку такие отношения урегулированы отдельным локальным актом;
  • на отношения, предусмотренные п.2 ст.1 Закона о персональных данных. 

1.5. Персональные данные субъекта персональных данных (далее – «персональные данные») – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. 

1.6. Оператор осуществляет обработку следующих персональных данных: 

  • фамилия, имя, отчество;
  • адрес электронной почты; 
  • номер телефона; 
  • наименование работодателя и занимаемой должности; 
  • данные аккаунтов социальных сетей; 
  • сведения об используемом браузере; 
  • местоположение и IP-адрес; 
  • данные файлов cookie, запрашиваемые интернет-страницы; 
  • фотографии и видеозаписи;
  • иная информация, обработка которой определена документами, регулирующими работу отдельных сайтов в сети «Интернет», принадлежащих Оператору. 

При получении персональных данных, не указанных в настоящем пункте, такие данные подлежат немедленному уничтожению лицом, непреднамеренно их получившим. 

1.7. Оператор осуществляет обработку персональных данных в целях: 

регистрации и (или) авторизации субъектом персональных данных на сайтах в сети «Интернет», принадлежащих Оператору; 

регистрации субъекта персональных данных в качестве участника мероприятий, проводимых Оператором; 

информирования субъекта персональных данных о мероприятиях, проводимых Оператором; 

публикации фотографий и видеозаписей с мероприятий, проводимых Оператором; в иных целях при условии, что соответствующие действия Оператора не противоречат характеру деятельности Оператора и действующему законодательству Российской Федерации, и на проведение указанной обработки получено согласие субъекта персональных данных в соответствии с установленной формой (Приложение 1 и Приложение 2). 

1.8. Оператор осуществляет обработку персональных данных посредством совершения любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, включая следующие: 

  • сбор; 
  • запись; 
  • систематизацию; 
  • накопление; 
  • хранение; 
  • уточнение (обновление, изменение); 
  • извлечение; 
  • использование; 
  • передачу (распространение, предоставление, доступ); 
  • обезличивание; 
  • блокирование; 
  • удаление; 
  • уничтожение. 

2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 

2.1. При обработке персональных данных Оператор руководствуется следующими принципами:

  • обработка персональных данных должна осуществляться на законной и справедливой основе; 
  • обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных; 
  • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только персональные данные, которые отвечают целям их обработки; 
  • содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки; 
  • при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных; 
  • хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. 

2.2. Обработка персональных данных осуществляется Оператором с соблюдением правил и принципов, предусмотренных: 

Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»; ст.12 Всеобщей декларации прав человека (принята Генеральной Ассамблеей ООН 10.12.1948); 

ст.17 Международного пакта о гражданских и политических правах (принят Резолюцией 2200 (XXI) на 1496-ом пленарном заседании Генеральной Ассамблеи ООН 16.12.1966); ст.8 Конвенции о защите прав человека и основных свобод (заключена в Риме 04.11.1950); 

положениями Конвенции Содружества Независимых Государств о правах и основных свободах человека (заключена в Минске 26.05.1995); 

положениями Окинавской хартии глобального информационного общества (принята на о. Окинава 22.07.2000); 

положениями Регламента (EU) 2018/1725 Европейского Парламента и Совета ЕС о защите физических лиц в случае обработки персональных данных организациями, органами, службами и агентствами ЕС и свободе обращения таких данных, а также об

отмене Регламента (EC) No 45/2001 и Решения No 1247/2002/EC (Страсбург, 23 октября 2018 года); 

настоящим Положением. 

2.3. Обработка персональных данных Оператором осуществляется в соответствии с применимыми нормативными и ненормативными правовыми актами, регулирующими вопросы обработки персональных данных. 

3. ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ 

3.1. Персональные данные получаются Оператором: 

путем личной передачи субъектом персональных данных при внесении данных на сайтах в сети «Интернет», принадлежащих Оператору; 

путем личной передачи субъектом персональных данных при внесении данных в анкету уполномоченному сотруднику Оператора; 

иными способами, не противоречащими действующему законодательству Российской Федерации, а также правилам и принципам, установленным настоящим Положением. 

3.2. Оператор получает персональные данные и начинает их обработку с момента получения согласия субъекта персональных данных. Согласие на обработку персональных данных может быть дано субъектом персональных данных в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено действующим законодательством Российской Федерации, включая письменную и устную форму, а также посредством совершения субъектом персональных данных конклюдентных действий. 

3.3. Согласие на обработку персональных данных считается предоставленным посредством совершения субъектом персональных данных конклюдентных действий путём проставления в соответствующей форме отметки о согласии на обработку персональных данных в объеме, для целей и в порядке, предусмотренных в тексте, предлагаемом для ознакомления перед осуществлением регистрации. 

Подобное согласие считается полученным с момента его регистрации и действует до момента направления субъектом персональных данных соответствующего заявления о прекращении обработки персональных данных по месту нахождения Оператора. 

3.4. В случае отсутствия согласия субъекта персональных данных на обработку его персональных данных такая обработка не осуществляется. 

3.5. Получение Оператором персональных данных от иных лиц, а равно передача поручения по обработке персональных данных осуществляется на основании договорных документов, содержащих условия о порядке обработки и сохранения конфиденциальности полученных персональных данных. 

3.6. Субъект персональных данных может в любой момент отозвать свое согласие на обработку персональных данных при условии, что подобный отзыв не нарушает

требований действующего законодательства Российской Федерации. Для отзыва согласия на обработку персональных данных, данного в письменной форме, необходимо подать соответствующее заявление в письменной форме по месту нахождения Оператора. 

При наличии оснований, предусмотренных действующим законодательством Российской Федерации, Оператор вправе продолжить обработку персональных данных после отзыва субъектом персональных данных согласия на обработку его персональных данных. 

3.7. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор должен прекратить их обработку или обеспечить прекращение такой обработки (если обработка осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей их обработки, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных, либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных действующим законодательством Российской Федерации. 

4. ПРАВИЛА И ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 

4.1. Обработку персональных данных осуществляют уполномоченные на то сотрудники Оператора. Сотрудники Оператора, непосредственно осуществляющие обработку персональных данных, до начала её осуществления должны быть ознакомлены с: 

положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к порядку защиты персональных данных; 

·документами, определяющими политику Оператора в отношении обработки персональных данных, в том числе с настоящим Положением, приложениями и изменениями к нему; 

иными локальными нормативным актами Оператора по вопросам обработки персональных данных (в случае их наличия). 

Сотрудники Оператора имеют право получать только те персональные данные, которые необходимы им для выполнения конкретных должностных обязанностей. Сотрудники Оператора, осуществляющие обработку персональных данных, должны быть проинформированы о факте такой обработки, об особенностях и правилах обработки, установленных действующим законодательством и внутренними документами Оператора.

4.2. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст.19 Закона о персональных данных, а также в соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной ФСТЭК РФ 14.02.2008 г. 

4.3. Контроль за соблюдением сотрудниками Оператора требований законодательства Российской Федерации и применимых норм международного права, а также положений локальных нормативных актов Оператора организован Оператором в соответствии с настоящим Положением. 

4.4. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Оператором требований Закона о персональных данных, осуществляется в соответствии со ст. ст.15, 151, 152, 1101 Гражданского кодекса РФ. 

4.5. Опубликование или обеспечение иным образом неограниченного доступа к настоящему Положению, иным документам, определяющим политику Оператора в отношении обработки персональных данных, к сведениям о реализуемых требованиях по защите персональных данных Оператор осуществляет посредством их размещения на сайтах в сети «Интернет», принадлежащих Оператору. 

4.6. Право доступа к персональным данным имеют: 

  • единоличный исполнительный орган Оператора; 
  • сотрудники Оператора, осуществляющие сбор и обработку персональных данных; 
  • субъекты обрабатываемых персональных данных или их уполномоченные представители. 
  • указанные лица имеют право получать доступ только к тем персональным данным, которые им необходимы для выполнения конкретных функций, при этом копирование и создание выписок разрешается только по прямому запросу субъекта персональных данных или его уполномоченного представителя. 

4.7. В случае если Оператор поручает обработку персональных данных третьим лицам, не являющимся его сотрудниками, на основании заключенных договоров (либо иных оснований), в силу которых они должны иметь доступ к персональным данным, соответствующие данные предоставляются Оператором только после подписания с лицами, осуществляющими обработку персональных данных по поручению Оператора, соответствующего соглашения, в котором должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим их обработку, и цели обработки, а также должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке и должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст.19 Закона о персональных данных.

5. ПОРЯДОК ОБЕСПЕЧЕНИЯ ОПЕРАТОРОМ ПРАВ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ 

5.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Законом о персональных данных и иными действующими на территории Российской Федерации нормативно-правовыми актами, регламентирующими обработку персональных данных. 

5.2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном действующим законодательством Российской Федерации. 

5.3. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в установленном законодательством порядке. Копия доверенности представителя хранится Оператором не менее 3 (трех) лет, а в случае, если срок хранения персональных данных больше трех лет, – не менее срока хранения персональных данных. 

5.4. Сведения, указанные в ч.7 ст.14 Закона о персональных данных, предоставляются субъекту персональных данных в доступной форме в электронном виде без предоставления персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. По требованию субъекта персональных данных копия указанных сведений может быть предоставлена в письменном виде. Доступная форма заверяется уполномоченным сотрудником Оператора. 

5.5. Сведения, указанные в ч.7 ст.14 Закона о персональных данных, предоставляются субъекту персональных данных или его представителю при личном обращении либо при получении Оператором соответствующего запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. При наличии технической возможности запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. 

5.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами Российской Федерации, в том числе на основании ч.8 ст.14 Закона о персональных данных.

5.7. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в целях, предусмотренных ч.1 ст.15 Закона о персональных данных, осуществляемую без получения предварительного согласия. 

5.8. Решение, влекущее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами Российской Федерации. 

5.9. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов. 

Текст подобного разъяснения составляется Оператором в письменном виде до начала автоматизированной обработки персональных данных и хранится не менее 2 (двух) лет. 

В случае автоматизированной обработки персональных данных различными способами указанное разъяснение готовится отдельно для каждого способа. 

5.10. Оператор обязан рассмотреть возражение относительно решения, вынесенного на основании исключительно автоматизированной обработки персональных данных, в течение 30 (тридцати) дней со дня получения возражения. 

Оператор уведомляет субъекта персональных данных о результатах рассмотрения возражения в течение 10 (десяти) дней. Уведомление может быть осуществлено Оператором в любой доступной форме, позволяющей подтвердить факт уведомления Субъекта персональных данных, в том числе посредством электронной почты, через сайты в сети «Интернет», принадлежащие Оператору или компаниям-партнерам Оператора, телеграфным сообщением с уведомлением о вручении или почтовым сообщением с уведомлением о вручении. Выбор способа направления уведомлений остается за Оператором. 

5.11. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к данному субъекту персональных данных, по месту нахождения Оператора в пределах рабочего времени Оператора. 

5.12. Оператор в течение 5 (пяти) дней с момента исправления или уничтожения персональных данных по требованию субъекта персональных данных или его

представителя обязан уведомить его о внесенных изменениях и предпринятых мерах, а также принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы. Уведомление может быть осуществлено Оператором в любой доступной форме, позволяющей подтвердить факт уведомления субъекта персональных данных. Выбор способа направления уведомления остается за Оператором. 

5.13. Оператор не осуществляет трансграничную передачу персональных данных.

6. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ 

6.1. Хранение персональных данных осуществляется в соответствии с письменным согласием субъекта персональных данных в течение срока, установленного с учетом требований действующего законодательства Российской Федерации. 

В случае отсутствия в соответствующих нормативно-правовых актах сроков хранения отдельных видов персональных данных указанные персональные данные подлежат хранению в течение срока, указанного в письменном согласии соответствующего субъекта персональных данных. 

6.2. Хранение персональных данных осуществляется не дольше, чем того требуют цели обработки персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей (в том числе путём удаления учётной записи субъекта персональных данных на сайтах в сети «Интернет», принадлежащих Оператору). 

6.3. Хранение персональных данных, цели обработки которых различны, должно осуществляться раздельно в рамках информационной системы или, при условии хранения на материальных носителях, в рамках структуры дел соответствующего подразделения Оператора. 

6.4. Сотрудник Оператора, имеющий доступ к персональным данным в связи с исполнением трудовых обязанностей, обеспечивает хранение информации, содержащей персональные данные субъектов персональных данных, исключающее доступ к ним третьих лиц. 

В отсутствие сотрудника на его рабочем месте не должно находиться документов, содержащих персональные данные. При уходе в отпуск, отъезде в служебную командировку и в иных случаях длительного отсутствия сотрудника на рабочем месте он обязан передать документы и иные носители, содержащие персональные данные, лицу, на которое локальным актом Оператора будет возложено исполнение его трудовых обязанностей. В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные субъектов персональных данных, передаются другому сотруднику, имеющему доступ к персональным данным субъектов

персональных данных, по указанию руководителя соответствующего структурного подразделения Оператора. 

При увольнении сотрудника, имеющего доступ к персональным данным, документы и иные носители, содержащие персональные данные субъектов персональных данных, передаются другому сотруднику, имеющему доступ к персональным данным субъектов персональных данных, по указанию руководителя структурного подразделения и с уведомлением лица, ответственного за обработку персональных данных. 

7. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ИЛИ НЕИСПОЛНЕНИЕ ПОЛОЖЕНИЯ 

7.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность, предусмотренную действующим законодательством Российской Федерации. 

8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ 

8.1. Настоящее Положение вступает в силу со дня его утверждения единоличным исполнительным органом Оператора. 

8.2. Все сотрудники Оператора, допущенные к работе с персональными данными, должны быть ознакомлены с настоящим Положением до начала работы с персональными данными.