Политика обработки персональных данных

152-ФЗ, или Персональные данные на сайте

Политика обработки персональных данных

Михаил Хохолков, ИНТЕЛЛЕКТ-С: «Минимум, что нужно сделать владельцу сайта, — разместить на сайте политику обработки персональных данных».

Хохолков Михаил Владимирович
Ведущий юрист

1 июля 2017 года вступили в силу изменения в статью 13.11 Кодекса об административных правонарушениях (КоАП РФ), регулирующую ответственность за соблюдение законодательства о персональных данных.

Ранее предусматривался один состав правонарушения — нарушение законодательства о персональных данных. Сейчас этот перечень развернут в 7 пунктов. Увеличивается и размер штрафов. Дела об административных правонарушениях в области персональных данных будут рассматривать территориальные отделения Роскомнадзора.

Сам же Закон «О персональных данных» действует уже 10 лет, кардинально не меняясь. Поэтому непонятна паника, которую раздувают некоторые СМИ. Тем не менее, для владельцев любых сайтов, собирающих данные пользователей, я выделил следующие важные моменты. 

Политика обработки персональных данных на сайте

Пункт 3 статьи 13.

11 КоАП РФ: невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных — влечет предупреждение или наложение административного штрафа:

  • на граждан в размере от 700 до 1 500 рублей;
  • на должностных лиц — от 3 000 до 6 000 рублей;
  • на индивидуальных предпринимателей — от 5 000 до 10 000 рублей;
  • на юридических лиц — от 15 000 до 30 000 рублей. 

Минимум, что нужно сделать сейчас, — разместить на сайте политику обработки персональных данных.

Особых требований к месту размещения законодатель не устанавливает, однако рекомендую ссылку на политику установить на главной странице, а также продублировать ее в местах размещения форм для сбора персональных данных. Политика обработки персональных данных должна быть доступной для любого пользователя.

Чек-лист для разработки политики обработки персональных данных (ПД) на сайте

Что нужно проверить:

  • любые формы отправки сообщений по типу «задать вопрос» и поля, обязательные для заполнения. Их нужно будет указать в политике обработки ПД в разделе «Объём ПД»;
  • регистрация пользователя / личный кабинет / авторизация через соцсети. Проверить поля, обязательные для заполнения. Указать их в политике обработки ПД в разделе «Объём ПД»;
  • форма заказа обратного звонка — какие поля в ней обязательны для заполнения. Эти данные нужно будет указывать в политике обработки ПД в разделах «Объем ПД» и «Цели ПД»;
  • рассылка. Если есть форма подписки на рассылку, то необходимо размещать согласие на обработку ПД и согласие на получение рассылки (всё можно делать в одном документе). На рассылку нужно также сослаться в разделе «Цели ПД»;
  • отзывы посетителей / клиентов / партнёров с ПД (благодарственные письма и т.д). Если пользователь пишет отзыв сам, то нужно размещать согласие на обработку ПД. Если выкладываются сканы благодарственных писем, то нужно предварительно обсудить с партнёром возможность получения такого согласия;
  • возможность отправки резюме. В этом случае необходимо согласие на обработку ПД в целях трудоустройства.

База данных сайта с персональными данными пользователей должна находится на территории России.

Если политика обработки ПД (документ может называться «политика конфиденциальности» или аналогично) уже есть на сайте, проверьте по чек-листу цели сбора и объёмы ПД. Лишней информации там быть не должно быть.

Принцип «лучше укажем больше данных, вдруг пригодится» неприемлем. Важно помнить, что объём собираемых данных должен соответствовать цели обработки.

Универсальных критериев такого соответствия не существует, поэтому нужно руководствоваться принципами разумности и достаточности.

Примеры:

  • для заказа авиабилетов нужны паспортные данные, для доставки пиццы — нет;
  • для доставки заказа курьером интернет-магазина нужен адрес доставки, для самовывоза — нет;
  • для бронирования билета в кино — вообще ничего не нужно, если не оплачивается онлайн.

Если на сайте нет никаких форм обратной связи, нет возможности заказать обратный звонок и т.п. — персональные данные не обрабатываются, следовательно, политику обработки ПД размещать не нужно.

Цель и объем сбора персональных данных

Излишний объем данных, собираемых у пользователя, может быть самостоятельным нарушением. Пункт 1 статьи 13.

11 КоАП: обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, — влечет предупреждение или наложение административного штрафа: 

  • на граждан в размере от 1 000 до 3 000 рублей;
  • на должностных лиц — от 5 000 до 10 000 рублей;
  • на юридических лиц — от 30 000 до 50 000 рублей. 

Таким образом, собираемые персональные данные должны соответствовать цели их обработки и не быть излишними. 

Поэтому в политике обработки персональных данных должна быть указана цель обработки и объем.

Пример

Самый частый случай сбора данных на сайте — заказ обратного звонка.

В этом случае достаточно просить указать пользователя лишь номер телефона. Если же для обратного звонка вы просите указать электронную почту, ФИО, адрес, место работы, должность, то такие данные считаются излишними, не соответствующими целям обработки, и, следовательно, их сбор является нарушением.

Без крайней необходимости не осуществляйте сбор паспортных данных. Чаще всего они не нужны. Для выполнения заказа, например, в интернет-магазине, достаточно указать телефон и адрес доставки.

Определившись с целями и объемом обработки персональных, составьте свою политику обработки, разместите на сайт. 

Кстати говоря. Я направлял такой запрос в Роскомнадзор:

Необходимо ли размещение политики обработки персональных данных на сайте доставки товаров, если для оформления заказа пользователь указывает только номер телефона? Оператор сайта звонит покупателю по указанному номеру, уточняет детали заказа и адрес доставки. В дальнейшем (после доставки заказа) номер телефона, имя и фамилия покупателя, адрес доставки не сохраняется и не обрабатывается владельцем сайта. 

И вот какой ответ получил: 

По информации, содержащейся в обращении, дать правовую оценку по существу поставленного вопроса не представляется возможным. 

По сути, это означает, что не любой случай сбора персональных данных влечет за собой необходимость размещения политики обработки этих данных, что не отменяет необходимости изучения этого вопроса для каждого сайта индивидуально.

Согласие на обработку персональных данных

Когда необходима письменная форма согласия на обработку ПД

Письменная форма — это документ в печатном виде с оригинальной (не сканированной, не факсимильной) подписью субъекта.

Письменная форма не будет соблюдена, если она получена по электронной почте в виде отсканированного документа.

Согласие в форме электронного документа может быть подписано электронной подписью в соответствии с ФЗ «Об электронной подписи». Требования письменной формы установлены пунктом 4 статьи 9 ФЗ «О персональных данных».

Письменная форма согласия на обработку персональных данных необходима только в случаях, прямо предусмотренных законом. Всего таких случаев пять, и они описаны в статьях 8, 10, 11, 12 и 16 ФЗ «О персональных данных»:

  • Статья 8 касается случаев создания общедоступных источников информации (справочников, адресных книг и т.п.). В эти справочники вы можете включать сведения о лицах, предварительно получив от них письменное согласие на обработку персональных данных.
  • Статья 10 — специальные категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
  • Статья 11 говорит об обработке биометрических персональных данных: фото- и видеоизображения, отпечатков пальцев, ДНК. Фото и видео признаются обработкой персональных данных в том случае, если они используются для установления личности. Съёмка с обычной камеры наблюдения в офисе, в супермаркете или на улице обработкой персональных данных не является.
  • Статья 12 касается трансграничной передачи персональных данных.
  • Статья 16 запрещает принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы — только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами.

Есть случаи, когда персональные данные могут быть обработаны без согласия субъекта — это пункты 2-11 части 1 статьи 6, часть 2 статьи 10 ФЗ «О персональных данных».

Во всех иных случаях (т.е. когда нет требования получать согласие в письменной форме или когда согласие не требуется) согласие может быть получено в любой форме, позволяющей подтвердить получение такого согласия. Подтверждать наличие такого согласия должен оператор обработки персональных данных.

Гиперссылку на согласие на обработку персональных данных рекомендуем устанавливать рядом с кнопками «отправить», «далее», «подписаться на рассылку» и подобными, сопровождая текстом:«Нажимая на кнопку ОТПРАВИТЬ, я подтверждаю, что ознакомился с политикой обработки персональных данных и даю согласие на обработку персональных данных», где текст, выделенный курсивом, — это гиперссылки на соответствующие документы.

Уведомление в Роскомнадзор

В определенных случаях необходимо подать уведомление в Роскомнадзор по месту регистрации (юр. лица, предпринимателя или гражданина — администратора сайта) для включения в реестр обработки персональных данных. Если такое уведомление не предоставить, то возможно привлечение к ответственности по статье 19.7 КоАП — предупреждение или наложение административного штрафа

  • на граждан в размере от 100 до 300 рублей;
  • на должностных лиц — от 300 до 500 рублей;
  • на юридических лиц — от 3 000 до 5 000 рублей. 

Форма и содержание уведомления, порядок его заполнения есть на сайте Роскомнадзора. Правда, представители Роскомнадзора пока никого за это не штрафуют — и не факт, что будут штрафовать.

В пункте 2 ст. 22 ФЗ «О персональных данных» перечислены случаи, когда уведомление в Роскомнадзор подавать не требуется. Всего таких случаев девять.

Самый распространенный — персональные данные получены в связи с заключением договора, если при том персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных.

Эти данные должны использоваться исключительно для исполнения указанного договора и заключения договора с субъектом персональных данных.

Заключение

Если на сайте не размещена политика обработки персональных данных, то его владелец не выполняет требования Закона «О персональных данных».

Указанные выше рекомендации относятся ко владельцам любых сайтов, которые так или иначе поддерживают обратную связь со своими посетителями.

Дополнительные требования могут быть предъявлены к интернет-магазинам, сервисам по подбору персонала, сервисам бронирования билетов, приема платежей, сетевых изданий (СМИ) и т.п. Про использование персональных данных в СМИ я напишу отдельно.

Поэтому прошу внимательно отнестись к подготовке документов, не используя «типовых форм политики обработки персональных данных», поскольку их не существует. За помощью обращайтесь к юристам, специализирующимся в этой отрасли.

Постскриптум

А вы знали, что дополнительные требования к информации, размещаемой на любых сайтах установлены и Федеральным законом «Об информации»?

Источник: https://www.intellectpro.ru/press/works/personal_nye_dannye_na_sayte/

Политика обработки персональных данных

Политика обработки персональных данных

ПОЛИТИКА ОПЕРАТОРА В ОТНОШЕНИИ ОБРАБОТКИ

ПЕРСОНАЛЬНЫХ ДАННЫХ

Москва, 2018 г.

ОБЩИЕ ПОЛОЖЕНИЯ

Политика оператора в отношении обработки персональных данных (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006. №152-ФЗ «О персональных данных» (далее – ФЗ-152).

Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных ИП Инина Мария Владимировна (далее – Оператор) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

В Политике используются следующие основные понятия:

персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных ПДн, и обеспечивающих их обработку информационных технологий и технических средств;

автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники;

блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);

обезличивание ПДн – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность ПДн конкретному субъекту ПДн;

обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;

оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с персональными данными;

персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);

предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;

распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц (передача ПДн) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;

уничтожение ПДн – действия, в результате которых невозможно восстановить содержание ПДн в ИСПДн и (или) результате которых уничтожаются материальные носители ПДн.

Компания обязана опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике оператора в отношении обработки ПДн в соответствии с ч. 2 ст. 18.1. ФЗ‑152.

Принципы обработки ПДн

Обработка ПДн у Оператора осуществляется на основе следующих принципов:

  • законности и справедливой основы;
  • ограничения обработки ПДн достижением конкретных, заранее определенных и законных целей;
  • недопущения обработки ПДн, несовместимой с целями сбора ПДн;
  • недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработки только тех ПДн, которые отвечают целям их обработки;
  • соответствия содержания и объема обрабатываемых ПДн заявленным целям обработки;
  • недопущения обработки ПДн, избыточных по отношению к заявленным целям их обработки;
  • обеспечения точности, достаточности и актуальности ПДн по отношению к целям обработки ПДн;
  • уничтожения либо обезличивания ПДн по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений ПДн, если иное не предусмотрено федеральным законом.

Условия обработки ПДн

Оператор производит обработку ПДн при наличии хотя бы одного из следующих условий:

  • обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
  • обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
  • обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
  • осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе (далее – общедоступные персональные данные);
  • осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Конфиденциальность ПДн

Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

Общедоступные источники ПДн

В целях информационного обеспечения у Оператора могут создаваться общедоступные источники ПДн субъектов ПДн, в том числе справочники и адресные книги.

В общедоступные источники ПДн с письменного согласия субъекта ПДн могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты и иные персональные данные, сообщаемые субъектом ПДн.

Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников ПДн по требованию субъекта ПДн, уполномоченного органа по защите прав субъектов ПДн либо по решению суда.

Специальные категории ПДн

Обработка Оператором специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается в случаях, если:

  • субъект ПДн дал согласие в письменной форме на обработку своих ПДн;
  • персональные данные сделаны общедоступными субъектом ПДн;
  • обработка ПДн осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
  • обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта ПДн невозможно;
  • обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка ПДн осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
  • обработка ПДн необходима для установления или осуществления прав субъекта ПДн или третьих лиц, а равно и в связи с осуществлением правосудия;
  • обработка ПДн осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

Обработка специальных категорий ПДн, осуществлявшаяся в случаях, предусмотренных пунктом 4 статьи 10 ФЗ-152 должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено федеральным законом.

Обработка ПДн о судимости может осуществляться Оператором исключительно в случаях и в порядке, которые определяются в соответствии с федеральными законами.

Биометрические персональные данные

Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность – биометрические персональные данные – могут обрабатываться Оператором только при наличии согласия субъекта ПДн в письменной форме.

Поручение обработки ПДн другому лицу

Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные ФЗ-152 и настоящей Политикой

Обработка ПДн граждан Российской Федерации

В соответствии со статьей 2 Федерального закона от 21 июля 2014 года N 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки ПДн в информационно-телекоммуникационных сетях»  при сборе ПДн, в том числе посредством информационно-телекоммуникационной сети “Интернет”, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев:

  • обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее – исполнение судебного акта);
  • обработка ПДн необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта ПДн на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
  • обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПДн.

Трансграничная передача ПДн

Оператор обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу ПДн, обеспечивается адекватная защита прав субъектов ПДн, до начала осуществления такой передачи.

Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн, может осуществляться в случаях:

  • наличия согласия в письменной форме субъекта ПДн на трансграничную передачу его ПДн;
  • исполнения договора, стороной которого является субъект ПДн.

Источник: https://psy-rpu.ru/privacy_policy

Политика обработки персональных данных – ТАСС

Политика обработки персональных данных

Настоящая Политика обработки персональных данных (далее — «Политика») действует в отношении информации, которую федеральное государственное унитарное предприятие «Информационное телеграфное агентство России (ИТАР-ТАСС)» (далее – «ТАСС») может получить о пользователе во время использования последним сайтов ТАСС в сети «Интернет», включая следующие: tass.ru,  tass.com, itar-tass.com,  tassphoto.com,  dv.land,  etokaaz.ru,  chrdk.ru,  www.sms-tass.ru, allrussia.online (далее – «Сайт» или «Сайты»).

Термины и сокращения

Пользователь (субъект персональных данных) ­– любое правоспособное лицо, имеющее намерение в дальнейшем полностью или частично использовать функционал Сайта (-ов).

ТАСС (оператор обработки персональных данных) – Федеральное государственное унитарное предприятие «Информационное телеграфное агентство России (ИТАР-ТАСС)», адрес регистрации – 125993, г. Москва, Тверской бульвар, д.

10-12, ОГРН: 1037700049606, ИНН: 7703082786, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с персональными данными.

Использование Сайта (-ов) означает полное и безоговорочное согласие пользователя с настоящей Политикой и указанными в ней условиями обработки его персональных данных. В случае несогласия с этими условиями пользователь должен воздержаться от использования данного (-ых) Сайта (-ов).

1. Персональные данные пользователей, которые получают и обрабатывают Сайты

1.1. В рамках настоящей Политики под информацией, которую ТАСС может получить о пользователе во время  использования последним Сайтов понимаются:

1.1.1. Персональная информация, которую пользователь предоставляет о себе самостоятельно при оставлении заявки, регистрации (создании учётной записи), обращения через форму обратной связи или в связи с иным процессом использования Сайтов.

1.1.2. Данные, которые предоставляются ТАСС, в целях осуществления оказания услуг и/или предоставления иных ценностей для посетителей Сайтов, в соответствии с деятельностью настоящих Сайтов:

  • фамилия;
  • имя;
  • отчество;
  • номер телефона;
  • электронная почта;
  • месторасположение;
  • фотография (изображение гражданина);
  • серия, номер документа, удостоверяющего личность/дата и место его выдачи;
  • возраст/дата рождения;
  • адрес регистрации/отправки корреспонденции;
  • ссылка на персональный сайт или социальные сети.

1.1.3. Данные, которые автоматически передаются Сайтам в процессе его использования с помощью установленного на устройстве пользователя программного обеспечения, включая, но не ограничиваясь:

  • технические характеристики устройства;
  • IP-адрес;
  • информация, сохраненная в файлах cookies;
  • User-Agent;
  • дата и время доступа к Сайту;
  • адреса запрашиваемых страниц Сайтов.

1.2. Настоящая Политика применима только к Сайтам, ТАСС не контролирует и не несет ответственность за сайты третьих лиц, на которые пользователь может перейти по ссылкам, доступным на Сайтах. На таких сайтах у пользователя могут собираться или запрашиваться иные персональные данные, а также могут совершаться иные действия.

1.3. Сайты в общем случае не проверяют достоверность персональной информации, предоставляемой пользователями, и не осуществляют контроль за их дееспособностью. Однако Сайты исходят из того, что пользователь предоставляет достоверную и достаточную персональную информацию по вопросам, предлагаемым в формах настоящего ресурса, и поддерживает эту информацию в актуальном состоянии.

2. Цели сбора и обработки персональных данных пользователей

2.1. ТАСС собирает и обрабатывает только те персональные данные, которые необходимы для оказания услуг и/или предоставления иных ценностей для посетителей Сайтов.

2.2. Персональные данные пользователя ТАСС может использовать в следующих целях:

2.2.1. Идентификация стороны в рамках соглашений и договоров с ТАСС.

2.2.2. Предоставление пользователю персонализированных услуг и сервисов, предложений и иных ценностей.

2.2.3. Связь с пользователем, в том числе направление уведомлений, запросов и информации, касающихся использования Сайтов, оказания услуг, а также обработка запросов и заявок от пользователя.

2.2.4. Улучшение качества Сайтов, удобства его использования, разработка новых услуг и сервисов.

2.2.5. Таргетирование рекламных материалов.

2.2.6. Проведение статистических и иных исследований на основе предоставленных данных.

2.2.7. Передача данных третьим лицам в целях осуществления деятельности Сайтов.

2.2.8. Заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическими лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и/или Уставом ТАСС.

3. Условия обработки персональных данных пользователя и её передачи третьим лицам

3.1. Сайты обрабатывают персональные данные пользователей в соответствии с внутренними регламентами, действующими в отношении конкретных сервисов.

3.2. В отношении персональных данных пользователя сохраняется ее конфиденциальность, кроме случаев добровольного предоставления пользователем информации о себе для общего доступа неограниченному кругу лиц.

3.3. Сайт вправе передать персональную информацию пользователя третьим лицам в следующих случаях:

3.3.1. Пользователь выразил свое осознанное согласие на такие действия, путем согласия, выразившегося в предоставлении таких данных.

3.3.2. Передача необходима в рамках использования пользователем определенного Сайта.

3.3.3. Передача предусмотрена российским или иным применимым законодательством в рамках установленной процедуры.

3.3.4. В целях обеспечения защиты прав и законных интересов ТАСС или третьих лиц в случаях, когда пользователь нарушает условия использования Сайта.

3.4. При обработке персональных данных пользователей ТАСС руководствуется Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и иными нормативно-правовыми актами Российской Федерации.

4. Права пользователя

4.1.

Пользователь вправе в любой момент изменить (обновить, дополнить) предоставленные им персональные данные или их часть, если подтвердит, что они неполные, неточные или неактуальные, а также параметры конфиденциальности их обработки, а также вправе требовать их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными или не являются необходимыми для заявленной цели обработки.

4.2. Пользователь может в любой момент, отозвать свое согласие на обработку персональных данных.

4.3. Пользователь вправе запросить имеет ли место факт обработки его персональных данных, уточнить источник получения его персональных данных, узнать о правовых основаниях, целях, сроках и способах обработки его персональных данных.

4.5. По указанным в настоящем разделе вопросам и иным предложениям и вопросам, связанным с обработкой Сайтами персональных данных пользователя, следует обращаться путем направления письменного запроса в ТАСС по адресу: 125993, г. Москва, ул. Тверской бульвар, дом 10-12.

4.4.

Запрос должен содержать номер основного документа, удостоверяющего личность Пользователя или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Пользователя в отношениях с ТАСС (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных ТАСС, подпись пользователя или его представителя.

5. Меры, применяемые для защиты персональных данных пользователей

5.1. ТАСС принимает необходимые правовые, организационные и технические меры для защиты персональных данных пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц.

6. Изменение Политики. Применимое законодательство

6.1. ТАСС оставляет за собой право вносить изменения в настоящую Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления.

Новая редакция Политики вступает в силу с момента ее размещения, если иное не предусмотрено новой редакцией Политики. Действующая редакция всегда находится на странице по адресу: http://tass.

ru/politika-obrabotki-personalnyh-dannyh .

6.2. К настоящей Политике и отношениям между пользователем и ТАСС, возникающим в связи с применением настоящей Политики, подлежит применению право Российской Федерации.

Источник: https://tass.ru/politika-obrabotki-personalnyh-dannyh

1. Назначение и область действия

1.1. Настоящий документ (далее — Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных в ЗАО «ПФ «СКБ Контур» (далее — Оператор). Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.

1.2. Политика действует бессрочно после утверждения и до ее замены новой версией.

1.3. В Политике используются термины и определения в соответствии с их значениями, как они определены в ФЗ-152 «О персональных данных».

1.4. Политика распространяется на всех сотрудников Оператора (включая работников по трудовым договорам и сотрудников, работающих по договорам подряда) и все структурные подразделения Общества, включая обособленные подразделения.

Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных Оператором, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку.

2. Сведения об обработке персональных данных

2.1. Обработка персональных данных Оператором ведется смешанным способом: с использованием средств автоматизации и без.

2.2. Действия с персональными данными включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.3. Обработка персональных данных осуществляется Оператором на законной и справедливой основе, правовыми основания для обработки являются:

  • Конституция Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Налоговый кодекс Российской Федерации;
  • Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных»;
  • Федеральный закон от 10.01.2002г. № 1-ФЗ «Об электронной цифровой подписи»;
  • Федеральный закон от 06.04.2011г. № 63-ФЗ «Об электронной подписи»;
  • Федеральный закон от 04.05.2011г. № 99-ФЗ «О лицензировании отдельных видов деятельности»;
  • Федеральный закон от 07.07.2003г. № 126-ФЗ «О связи»;
  • Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
  • Федеральный закон от 24.07.2009г. № 212-ФЗ «О страховых взносах в Пенсионный Фонд РФ, Фонд социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;
  • Федеральный закон от 22.10.2004г. № 125-ФЗ «Об архивном деле в РФ»;
  • Закон РФ от 10.07.1992г. № 3266-1 «Об образовании»;
  • Устав ЗАО «ПФ «СКБ Контур»;
  • Регламент Удостоверяющего центра ЗАО «ПФ «СКБ Контур».

2.4. и объем обрабатываемых персональных определяются исходя из целей обработки. Не обрабатываются персональные данные, избыточные или несовместимые по отношению к следующим основным целям:

  • заключение трудовых отношений с физическими лицами;
  • выполнение договорных обязательств Оператора;
  • выполнение функций удостоверяющего центра;
  • соблюдение действующего трудового, бухгалтерского, пенсионного, иного законодательства Российской Федерации.

2.5. К основным категориям субъектов персональных данных, чьи данные обрабатываются Оператором, относятся:

  • физические лица, состоящие в трудовых и гражданско-правовых отношениях с Оператором;
  • физические лица, состоящие в трудовых и гражданско-правовых отношениях с контрагентами Оператора;
  • кандидаты на замещение вакантных должностей.

2.6. Для указанных категорий субъектов могут обрабатываться: фамилия, имя, отчество; год, месяц, дата рождения; место рождения, адрес; семейное положение; социальное положение; имущественное положение; образование; профессия; доходы; ИНН, СНИЛС, контактная информация (телефон, адрес электронной почты), иные сведения, предусмотренные типовыми формами и установленным порядком обработки.

2.7. При обработке обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. При обнаружении неточных или неполных персональных данных производится их уточнение и актуализация.

2.8. Для персональных данных, не являющихся общедоступными, обеспечивается конфиденциальность.

2.9.

Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом персональных данных не установлен соответствующий срок хранения. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующий условий:

  • достижение целей обработки персональных данных или максимальных сроков хранения — в течение 30 дней;
  • утрата необходимости в достижении целей обработки персональных данных — в течение 30 дней;
  • предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки — в течение 7 дней;
  • невозможность обеспечения правомерности обработки персональных данных — в течение 10 дней;
  • отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных — в течение 30 дней;
  • отзыв субъектом персональных данных согласия на использование персональных данных для контактов с потенциальными потребителями при продвижении товаров и услуг — в течение 2 дней;
  • истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных;
  • ликвидация (реорганизация) Оператора.

2.10.

Обработка персональных данных на основании договоров и иных соглашений Оператора, поручений Оператору и поручений Оператора на обработку персональных данных осуществляется в соответствии с условиями этих договоров, соглашений Оператора, а также соглашений с лицами, которым поручена обработка или которые поручили обработку на законных основаниях. Такие соглашения могут определять, в частности:

  • цели, условия, сроки обработки персональных данных;
  • обязательства сторон, в том числе меры по обеспечению конфиденциальности;
  • права, обязанности и ответственность сторон, касающиеся обработки персональных данных.

2.11. В случаях, не предусмотренных явно действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий

договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках, или оформлено в письменной форме в соответствии с законодательством. Обязательным случаем получения предварительного согласия является, например, контакт с потенциальным потребителем при продвижении товаров и услуг Оператора на рынке.

2.12. Оператор зарегистрирован в реестре уполномоченного органа по защите прав субъектов персональных данных за номером № 09-0066830. В реестре указаны сведения об Операторе, в том числе: полное наименование, контактная информация для обращений, сведения об обработке персональных данных и мерах по обеспечению безопасности.

3. Меры по обеспечению безопасности персональных данных

3.1. Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных для их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:

  • назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности персональных данных;
  • проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;
  • издание локальных актов по вопросам обработки персональных данных, ознакомление с ними работников, обучение пользователей;
  • обеспечение физической безопасности помещений и средств обработки, пропускной режим, охрана, видеонаблюдение;
  • ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;
  • определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
  • применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценкисоответствия в установленном порядке;
  • учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
  • резервное копирование информации для возможности восстановления;
  • осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.

4. Права субъектов персональных данных

4.1. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Оператору по почте или обратившись лично.

4.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки персональных данных Оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые Оператором способы обработки персональных данных;
  • наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

4.3. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4.4.

Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) или  судебном порядке.

4.5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

5. Роли и ответственность

5.1. Права и обязанности Оператора определяются действующим законодательством и соглашениями Оператора.

5.2. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных и Отделом информационной безопасности Оператора в пределах их полномочий.

5.3. Ответственность лиц, участвующих в обработке персональных данных на основании поручений Оператора, за неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного между Оператором и контрагентом гражданско-правового договора или Соглашения о конфиденциальности информации.

5.4. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами, локальными актами, соглашениями Оператора.

5.5. Политика разрабатывается ответственным за организацию обработки персональных данных и вводится в действие после утверждения руководителем Оператора. Предложения и замечания для внесения изменений в Политику следует направлять по адресу orlit@skbkontur.ru. Политика пересматривается ежегодно для поддержания в актуальном состоянии и актуализируется по мере необходимости.

Источник: https://kontur.ru/about/policy

Юр-помощник
Добавить комментарий