ПОЛИТИКА
в отношении обработки персональных данных1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее – Политика) разработана в соответствии Федеральным законом Российской Федерации от 27.07.2006 №152-ФЗ
«О персональных данных» (далее – Закон № 152-ФЗ), Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, а также иными федеральными законами и нормативными актами Российской Федерации, определяющими случаи и особенности обработки персональных данных (далее – ПДн) и обеспечения безопасности и конфиденциальности такой информации (далее – Законодательство ПДн).
1.2. Политика определяет общий порядок, принципы и условия обработки ПДн АНО «Инвестиционное Агентство Приморского края» (далее – Организация) и обеспечивает защиту прав субъектов ПДн при обработке их ПДн.
1.3. Настоящая Политика устанавливает:
· принципы обработки ПДн;
· права субъектов ПДн;
· обязанности Организации при осуществлении обработки ПДн;
· правовые основания обработки ПДн;
· категории субъектов ПДн и цели обработки ПДн;
· состав обрабатываемых ПДн;
· порядок и условия обработки ПДн;
· условия соблюдения конфиденциальности ПДн и обеспечения безопасности ПДн;
· порядок взаимодействия с субъектами ПДн и Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор).
1.4. Ознакомление работников Организации с настоящей Политикой, в том числе с изменениями настоящей Политики, осуществляется под подпись.
1.5. Положения и требования настоящей Политики являются обязательными для исполнения всеми работниками Организации, имеющими доступ к ПДн.
1.6. Настоящая Политика подлежит размещению на сайте Организации (https://invest.primorsky.ru) в информационно-телекоммуникационной сети Интернет, а также на всех страницах сайта Организации, с использованием которых осуществляется сбор ПДн субъектов ПДн.
2. Основные понятия
3. Основные права и обязанности Оператора ПДн
3.1. Оператор при сборе ПДн обязан предоставить субъекту ПДн по его просьбе информацию, касающуюся обработки его ПДн.
3.2. Если в соответствии с Законом № 152-ФЗ предоставление ПДн и (или) получение Оператором согласия на обработку ПДн являются обязательными, Оператор обязан разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку.
3.3. При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе № 152-ФЗ.
3.4. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами.
3.5. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике, к сведениям о реализуемых требованиях к защите ПДн. Оператор в случае осуществления сбора ПДн с использованием информационно- телекоммуникационных сетей обязан опубликовать в соответствующих информационно- телекоммуникационных сетях Политику и сведения о реализуемых требованиях к защите ПДн, а также обеспечить возможность доступа к указанному документу с использованием соответствующих информационно-телекоммуникационных сетей.
3.6. Оператор при обработке ПДн обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
3.7. Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом № 152-ФЗ. В поручении Оператора должны быть определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 Закона № 152-ФЗ.
3.8. Исполнять иные обязанности, предусмотренные Законом № 152-ФЗ.
1.1. Настоящая Политика обработки персональных данных (далее – Политика) разработана в соответствии Федеральным законом Российской Федерации от 27.07.2006 №152-ФЗ
«О персональных данных» (далее – Закон № 152-ФЗ), Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, а также иными федеральными законами и нормативными актами Российской Федерации, определяющими случаи и особенности обработки персональных данных (далее – ПДн) и обеспечения безопасности и конфиденциальности такой информации (далее – Законодательство ПДн).
1.2. Политика определяет общий порядок, принципы и условия обработки ПДн АНО «Инвестиционное Агентство Приморского края» (далее – Организация) и обеспечивает защиту прав субъектов ПДн при обработке их ПДн.
1.3. Настоящая Политика устанавливает:
· принципы обработки ПДн;
· права субъектов ПДн;
· обязанности Организации при осуществлении обработки ПДн;
· правовые основания обработки ПДн;
· категории субъектов ПДн и цели обработки ПДн;
· состав обрабатываемых ПДн;
· порядок и условия обработки ПДн;
· условия соблюдения конфиденциальности ПДн и обеспечения безопасности ПДн;
· порядок взаимодействия с субъектами ПДн и Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор).
1.4. Ознакомление работников Организации с настоящей Политикой, в том числе с изменениями настоящей Политики, осуществляется под подпись.
1.5. Положения и требования настоящей Политики являются обязательными для исполнения всеми работниками Организации, имеющими доступ к ПДн.
1.6. Настоящая Политика подлежит размещению на сайте Организации (https://invest.primorsky.ru) в информационно-телекоммуникационной сети Интернет, а также на всех страницах сайта Организации, с использованием которых осуществляется сбор ПДн субъектов ПДн.
2. Основные понятия
Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники. |
Блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн) по требованию субъекта ПДн или Роскомнадзора. |
Информационная система ПДн – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств. |
Конфиденциальность ПДн – обязанность не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации. |
Обработка ПДн – любое действие (операция) или совокупность действий (операций) с ПДн, совершаемых с использованием средств автоматизации или без их использования. Обработка ПДн включает в себя, в том числе: - сбор; - запись; - систематизацию; - накопление; - хранение; - уточнение (обновление, изменение); - извлечение; - использование; - передачу (распространение, предоставление, доступ); - обезличивание; - блокирование; - удаление; - уничтожение. |
Оператор ПДн – АНО «Инвестиционное Агентство Приморского края», 690090, Приморский край, город Владивосток, Тигровая ул, д. 7, 8 800 500 35 25, info@pkia.ru. |
ПДн – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн). |
ПДн, разрешенные субъектом ПДн для распространения – ПДн, доступ неограниченного круга лиц к которым представлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном Законом № 152-ФЗ. |
Предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц. |
Распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц. |
Сайт - совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://invest.primorsky.ru; |
Трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. |
Удаление ПДн – изъятие ПДн из информационных систем с сохранением последующей возможности их восстановления. |
Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн. |
3. Основные права и обязанности Оператора ПДн
3.1. Оператор при сборе ПДн обязан предоставить субъекту ПДн по его просьбе информацию, касающуюся обработки его ПДн.
3.2. Если в соответствии с Законом № 152-ФЗ предоставление ПДн и (или) получение Оператором согласия на обработку ПДн являются обязательными, Оператор обязан разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку.
3.3. При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе № 152-ФЗ.
3.4. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами.
3.5. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике, к сведениям о реализуемых требованиях к защите ПДн. Оператор в случае осуществления сбора ПДн с использованием информационно- телекоммуникационных сетей обязан опубликовать в соответствующих информационно- телекоммуникационных сетях Политику и сведения о реализуемых требованиях к защите ПДн, а также обеспечить возможность доступа к указанному документу с использованием соответствующих информационно-телекоммуникационных сетей.
3.6. Оператор при обработке ПДн обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
3.7. Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом № 152-ФЗ. В поручении Оператора должны быть определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 Закона № 152-ФЗ.
3.8. Исполнять иные обязанности, предусмотренные Законом № 152-ФЗ.
4. Основные права и обязанности субъекта ПДн
4.1. Получать информацию, касающуюся обработки его ПДн, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту ПДн Оператором в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких ПДн. Перечень информации и порядок ее получения установлен Законом № 152-ФЗ.
4.2. Субъект ПДн вправе требоватьот Оператора уточненияего ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являютсянеобходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4.3. Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта ПДн.
4.4. Принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересыразрешается только при наличии согласия в письменной форме субъектаПДн или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта ПДн.
4.5. Если субъект ПДн считает, что Оператор осуществляет обработку его ПДн с нарушением требований Закона № 152-ФЗили иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
4.6. Субъект ПДн имеет право на защиту своих прав и законныхинтересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
4.7. Субъект ПДн обязан предоставлять Оператору достоверные ПДн.
4.8. Субъект ПДн обязан сообщатьОператору об уточнении(обновлении, изменении) своих ПДн.
4.9. Лица, передавшие Оператору недостоверные сведения о себе,либо сведения о другом субъекте ПДн без согласия последнего, несут ответственность в соответствии с законодательством Российской Федерации.
4. Состав и цели обработки ПДн
5.1. Обработке подлежаттолько ПДн, которыеотвечают целям их обработки.
5.2. Допускаются иные цели обработки ПДн в случае, если указанные действия не противоречат действующему законодательству, деятельности Организации и на проведение указанной обработки получено согласие субъекта ПДн.
5.3. Обработка ПДн должна ограничиваться достижением конкретных, заранееопределенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
5.4. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должныбыть избыточными по отношению к заявленным целям их обработки.
5.5. Организация не производит обработкуданных о судимостисубъекта, за исключением в случаях и в порядке, которые определяются в соответствии с федеральными законами Российской Федерации.
5.6. Данные о здоровье могут обрабатываться Организацией только в том случае, если эти данные прямо относятся к возможности субъекта исполнять свои обязательства перед Организацией, либо используются в целях исполнения требований действующего законодательства, например, в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
5.7. Сведения о расовой и национальной принадлежности клиентов Организации не обрабатываются. Фотографии, находящиеся в документах, удостоверяющих личность субъекта, и иные аналогичные данные не относятся к сведениям о расовой, национальной принадлежности и биометрическим ПДн.
5.8. Организация не обрабатывает сведения (биометрические ПДн), которые характеризуют физиологические особенности субъектови на основе которых можно установить их личность.
5.9. В целях информационного обеспечения могут создаваться общедоступные источники ПДн (в том числе справочники, адресные книги). Вобщедоступные источники ПДн с письменного согласия субъектамогут включаться его фамилия, имя, отчество, год и место рождения, адрес, включая адрес электронной почты, клиентский номер телефона, IP-адрес, сведения о профессии и иные ПДн, сообщаемые субъектомПДн. Сведения о субъектах должны быть в любое время исключеныиз общедоступных источников ПДн по запросусубъекта либо п решению суда или иных уполномоченных государственных органов.
4.1. Получать информацию, касающуюся обработки его ПДн, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту ПДн Оператором в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких ПДн. Перечень информации и порядок ее получения установлен Законом № 152-ФЗ.
4.2. Субъект ПДн вправе требоватьот Оператора уточненияего ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являютсянеобходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4.3. Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта ПДн.
4.4. Принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересыразрешается только при наличии согласия в письменной форме субъектаПДн или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта ПДн.
4.5. Если субъект ПДн считает, что Оператор осуществляет обработку его ПДн с нарушением требований Закона № 152-ФЗили иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
4.6. Субъект ПДн имеет право на защиту своих прав и законныхинтересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
4.7. Субъект ПДн обязан предоставлять Оператору достоверные ПДн.
4.8. Субъект ПДн обязан сообщатьОператору об уточнении(обновлении, изменении) своих ПДн.
4.9. Лица, передавшие Оператору недостоверные сведения о себе,либо сведения о другом субъекте ПДн без согласия последнего, несут ответственность в соответствии с законодательством Российской Федерации.
4. Состав и цели обработки ПДн
№ | Субъект ПДн | Цели обработки ПДн | Состав ПДн | Основания обработки |
1 | Клиенты (контраген ты) | Исполнение обязательств и реализации прав, возложенных на АНО «Инвестиционное Агентство Приморского края» Уставоми договорами, заключенными с Клиентами | фамилия, имя, отчество; ОКОПФ; ИНН; контактные данные; адрес электронной почты; банковские реквизиты, счета контрагента. | Согласие на обработку персональных данных |
2 | Сотрудник и | Ведение кадрового учетав соответствии с Трудовым кодексом Российской Федерации | фамилия, имя, отчество; дата рождения; место рождения; адрес места жительства (по паспорту и фактический); пол; паспортные данные; семейное положение и состав семьи; сведения о воинском учете;сведения об образовании; сведения о трудовой деятельности; сведения о повышении квалификации; сведения о доходах; сведения об аттестации; сведения о профессиональной переподготовке; сведения о наградах (поощрениях), почетных званиях; фотография; сведения о социальных | Трудовой кодекс РФ, Согласие на обработку персональных данных |
|
|
| гарантиях; индивидуальный номер налогоплательщика; номер страхового свидетельства обязательного пенсионного страхования; телефонный номер (рабочий, домашний, мобильный); данные миграционной карты (для иностранных граждан), сведения, указанные в оригиналах и копиях приказов по личному составу Организации и материалах к ним, личной карточке и личном деле; материалы по аттестации и оценке работников Организации; материалы по внутренним служебным расследованиям в отношении работников Организации. |
|
3 | Начисление заработной платы и премиального вознаграждения | фамилия, имя,отчество; номер расчётного счёта, номер банковской карты. | Трудовой кодекс РФ, Согласие на обработку персональных данных | |
4 | Подготовка регламентированн ой отчетности в государственные контрольные органы (ФНС, СФР и другие) | фамилия, имя, отчество; дата рождения; паспортные данные, индивидуальный номер налогоплательщика; номер страхового свидетельства обязательного пенсионного страхования; телефонный номер (рабочий, домашний, мобильный); данные миграционной карты (для иностранных граждан). | Налоговый кодекс РФ, Федеральный закон от 17.12.2001 N 173- ФЗ «О трудовых пенсиях в Российской Федерации», Федеральный закон от 16.07.99 N 165-ФЗ "Об основах обязательного социального страхования" | |
5 | Соискател и | Трудоустройство на вакантные должности | фамилия, имя, отчество; дата рождения; место рождения; гражданство; пол; сведения о воинском учете; сведения об образовании; сведения о трудовом стаже; данные миграционной карты (для иностранных граждан). | Трудовой кодекс РФ, Согласие на обработку персональных данных |
6 | Посетител и Сайта | Помощь в поиске инвесторов и подборе подходящих площадок для бизнеса, | фамилия, имя, отчество, абонентский номер, адрес электронной почты. | Согласие на обработку персональных данных, полученное на Сайте |
|
| организация мероприятий с Правительством Приморского края и органами местного самоуправления Приморского края |
| Организации (галочка\кнопка и т.д.) |
7 | Публикация частной площадки на Сайте | фамилия, имя, отчество, дата и место рождения, паспортные данные, СНИЛС, ИНН, адрес регистрации по месту жительства и адрес фактического проживания, абонентский номер, адрес электронной почты. | Согласие на обработку персональных данных, полученное на Сайте Организации (галочка\кнопка и т.д.) | |
8 | Прием обращений инвестиционной тематики | абонентский номер,адрес электронной почты. | Согласие на обработку персональных данных, полученное на Сайте Организации (галочка\кнопка и т.д.) | |
9 | Анализ пользовате льской активности субъекта персональн ых данных на Сайте Оператора с помощью сервиса веб- аналитики «Яндекс Метрика» для улучшения работы Сайта |
| файлы cookie, IP-адрес; идентификационная информация браузера; сведения о действиях пользователя, сведения об оборудовании, дата и время сессии; | Согласие на обработку персональных данных, полученное на сайте Организации (конклюдентное действие) |
5.1. Обработке подлежаттолько ПДн, которыеотвечают целям их обработки.
5.2. Допускаются иные цели обработки ПДн в случае, если указанные действия не противоречат действующему законодательству, деятельности Организации и на проведение указанной обработки получено согласие субъекта ПДн.
5.3. Обработка ПДн должна ограничиваться достижением конкретных, заранееопределенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
5.4. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должныбыть избыточными по отношению к заявленным целям их обработки.
5.5. Организация не производит обработкуданных о судимостисубъекта, за исключением в случаях и в порядке, которые определяются в соответствии с федеральными законами Российской Федерации.
5.6. Данные о здоровье могут обрабатываться Организацией только в том случае, если эти данные прямо относятся к возможности субъекта исполнять свои обязательства перед Организацией, либо используются в целях исполнения требований действующего законодательства, например, в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
5.7. Сведения о расовой и национальной принадлежности клиентов Организации не обрабатываются. Фотографии, находящиеся в документах, удостоверяющих личность субъекта, и иные аналогичные данные не относятся к сведениям о расовой, национальной принадлежности и биометрическим ПДн.
5.8. Организация не обрабатывает сведения (биометрические ПДн), которые характеризуют физиологические особенности субъектови на основе которых можно установить их личность.
5.9. В целях информационного обеспечения могут создаваться общедоступные источники ПДн (в том числе справочники, адресные книги). Вобщедоступные источники ПДн с письменного согласия субъектамогут включаться его фамилия, имя, отчество, год и место рождения, адрес, включая адрес электронной почты, клиентский номер телефона, IP-адрес, сведения о профессии и иные ПДн, сообщаемые субъектомПДн. Сведения о субъектах должны быть в любое время исключеныиз общедоступных источников ПДн по запросусубъекта либо п решению суда или иных уполномоченных государственных органов.
6. Сроки обработки и хранения ПДн
6.1. Сроки хранения ПДн в Организации, в общем случае,определяются в соответствие со сроками, установленными Приказом Росархива от 20.12.2019 N 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», Приказом Федерального архивного агентства от 28 декабря 2021 г. N 142 «Об утверждении Перечня типовых архивных документов, образующихся в научно-технической и производственной деятельности организаций, с указанием сроков хранения», а также иными требованиями законодательства Российской Федерации(по срокам исковой давности, по оформлению трудовых отношений и т.д.), нормативных документов федеральных органов исполнительной власти, документов, фиксирующих договорные отношения Организации с субъектами ПДн, и согласий субъектов на обработку ПДн.
6.2. Сроки хранения ПДн должны содержаться в документах, подтверждающих получение согласия субъекта ПДн на обработку его ПДн или во внутренних локальных документах Организации.
6.3. Обработка ПДн должна быть прекращена в случаях:
– выявления неправомерных действийс ПДн до устранения допущенных нарушений;
– достижения цели обработки ПДн;
– отзыва субъектом ПДн согласия на обработку своих ПДн;
– прекращения деятельности Организации.
6.4. Процедура хранения ПДн в Организации должна проводиться в порядке, который позволяет осуществлять хранениеПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок их хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн
7. Порядок и условияобработки ПДн
7.1. Общие принципы обработки ПДн
7.1.1. Цели и способы обработки ПДн в Организации должны соответствовать требованиям Российского законодательства в области обработки и обеспечения безопасности ПДн.
7.1.2. Обработка ПДн в Организации может осуществляться в целях исполнения трудового законодательства Российской Федерации, в целях предоставления услуг по основным видам деятельности Организации, в целях осуществления взаимодействия с партнерами, подрядчиками и контрагентами в рамках договорных отношений и не может противоречить изначально заявленным при сборе ПДн целям.
7.1.3. В целях исполнения требований действующего законодательства РФ и своих договорных обязательств Организация может использовать как автоматизированную обработку ПДн, так и неавтоматизированную обработку с использованием бумажного документооборота.
7.1.4. Обрабатываемые ПДн должны быть достоверными, их объем и характер, а также способы обработки должны соответствовать изначально заявленным при сборе ПДн целям. Не допускается обработка ПДн, избыточных по отношению к заявленным целям.
7.1.5. ПДн подлежат правовой охране как сведения конфиденциального характера в соответствии с федеральным законодательством. Обеспечение конфиденциальности ПДн не требуется в отношении общедоступных ПДн.
7.2. Получение согласия субъектана обработку ПДн2.2.1. Обработка ПДн субъектов должна осуществляться с их согласия на обработку их ПДн, а также в иных случаях, предусмотренных статьей 6 Закона № 152-ФЗ.
7.2.2. В случаях, предусмотренных Законом № 152-ФЗ, обработка ПДн должна осуществляться только с согласия в письменной форме субъекта ПДн:
– Обработка специальных категорий ПДн,
– Обработка биометрических ПДн,
– Трансграничная передача ПДн в страны,не обеспечивающие адекватной защиты прав субъекта ПДн,
– Включение в общедоступные источники ПДн,
– Принятие решений на основании исключительно автоматизированной обработки ПДн.
7.2.3. При недееспособностисубъекта письменное согласие на обработку его данных дает его законный представитель.
7.2.4. Организация обязана иметь доказательство получения согласия клиента на обработку его ПДн (в том случае, если такое согласие является необходимым).
7.2.5. Согласие на обработку ПДн может быть дано субъектом или его законным представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку ПДн от представителя субъекта полномочия данного представителя должны быть проверены Организацией. Форма согласия может быть в письменной, в электронном виде через Сайт Организации, конклюдентной или иной форме, предусмотренной действующим законодательством.
7.2.6. Согласие на обработку ПДн может быть дано субъектом или его законнымпредставителем на Сайте Организации при заполнении веб-формы, путем проставления галочки или конклюдентным действием, для реализации следующих целей:
- Помощь в поиске инвесторов и подборе подходящих площадок для бизнеса, организация мероприятий с Правительством Приморского края и органамиместного самоуправления Приморского края,
- Публикация частной площадкина Сайте,
- Прием обращений инвестиционной тематики,
- Анализ пользовательской активности субъекта персональных данных на Сайте Оператора с помощью сервиса веб-аналитики «Яндекс Метрика» для улучшения работы Сайта.
7.2.7. Клиенты Организации дают конклюдентное согласиена обработку их ПДн в случаях:
– Предоставление удостоверения личностидля прохода на территорию Организации.
– Участие в опросах, проводимых Организацией.
7.2.8. В соответствии с пунктами2 - 11 части 1 статьи 6, а также пунктом 4 статьи 6 Закона
№ 152-ФЗ обработка ПДн можетосуществляться без согласиясубъекта на обработкуего ПДн:
– обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом,для осуществления и выполнения, возложенных законодательством Российской Федерации на Организация функций, полномочий и обязанностей;
– обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другогооргана или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
– обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому являетсясубъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
– обработка ПДн необходима для защиты жизни,здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
– обработка ПДн необходима для осуществления прав и законных интересов Организации или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
– обработка ПДн осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Закона№ 152-ФЗ, при условии обязательного обезличивания ПДн;
– осуществляется обработка ПДн, доступ неограниченного круга лиц, к которым предоставлен субъектом ПДн либо по его просьбе (далее – ПДн, сделанные общедоступными субъектом ПДн);
– осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом Российской Федерации.
В Организации к таким ситуацияммогут относиться:
– Взаимодействие с Пенсионным фондом РФ;
– Взаимодействие с налоговыми органами;
– Взаимодействие с таможенными органами;
– Взаимодействие с Федеральной службой финансового мониторинга;
– Взаимодействие с БанкомРоссии;
– Взаимодействие с органамипредварительного следствия;
– Взаимодействие с органамивнутренних дел;
– Взаимодействие с судебными органами;
– Взаимодействие со Счетнойпалатой Российской Федерации;
– Взаимодействие с Федеральным органом исполнительной власти в областифинансовых рынков;
– Взаимодействие с Фондомсоциального страхования Российской Федерации;
– Взаимодействие с органамипринудительного исполнения судебныхактов, актов других органов и должностных лиц;
– Взаимодействие с лицами,указанными клиентом Организации в завещательном распоряжении;
– Взаимодействие с нотариальными конторами;
– Оплата от именитретьего лица;
– Обработка доверенностей;
– Обработка ПДн представителей юридических лиц;
– Взаимодействия с иностранными консульскими учреждениями;
– Взаимодействие с региональными органами исполнительной власти.
7.3. Получение ПДн2.3.1. Получение ПДн субъектадолжно осуществляться лично, за исключением случаев получения ПДн из общедоступных источников.
7.3.2. Организация можетполучать ПДн клиентаот третьих лиц при условииналичия согласия на обработку и/или оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона № 152-ФЗ.
7.3.3. В таком случаеобязанность получения согласияна обработку ПДн лежит на передающей третьей стороне.
7.3.4. При необходимости получения дополнительных сведений о субъекте ПДн ему должен быть направлен соответствующий запросна получение дополнительных ПДн и согласия на их обработку с указанием целей, способов и сроков обработки этих ПДн.
7.3.5. Если ПДн получены не от субъекта ПДн и их обработка не поручена Организации оператором, Организация до начала обработкитаких ПДн обязанпредоставить субъекту ПДн следующую информацию:
– наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
– цель обработки ПДн и ее правовое основание;
– предполагаемые пользователи ПДн;
– установленные Законом № 152-ФЗправа субъекта ПДн;
– источник получения ПДн.
7.3.6. Источниками ПДн субъектов в Организации могут являться:
– Анкеты,
– Резюме,
– Договоры,
– Формы,
– Сайт Организации,
– Заявки/заявления,
– Информация из приёмной(рецепции),
– Телефон,
– Копии предоставляемых документов,
– иные источники в соответствии с действующим законодательством Российской Федерации.
7.4. Доступ к ПДн2.4.1. Доступ к ПДн, содержащимся как в ИСПДн Организации, так и на бумажных носителях, могут иметь сотрудники Организации, которым ПДн необходимы в связи с исполнением ими трудовых обязанностей.
7.4.2. При оформлении трудовых отношений сотрудники Организации должны подписывать Обязательство о неразглашении сведений, составляющих конфиденциальную информацию (в том числе и ПДн) и проходить обязательный инструктаж.
7.4.3. Также должно осуществляться ознакомление сотрудников под роспись с другими внутренними документами Организации по защите ПДн.
7.4.4. Каждый пользователь должен иметь индивидуальную учетную запись, которая определяет его права и полномочия в ИСПДн Организации. Информация об учетной записи не может быть передана другим лицам. Пользователь несет персональную ответственность за конфиденциальность сведений собственной учетной записи. Запрещено использование для доступа к ИСПДн Организации учетных записей других пользователей.
7.4.5. Созданием, удалением и изменением учетных записей пользователей автоматизированной информационной системы должны заниматься уполномоченные администраторы в соответствии с должностными обязанностями.
7.4.6. Список лиц (пользователей), допущенных к работе в ИСПДн, должен вестись в соответствии с утвержденными процедурами предоставления доступа к информационным ресурсам.
7.5. Использование ПДн2.5.1. ПДн субъектов ПДн могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде.
7.5.2. Ввод ПДн в ИСПДн Организации может осуществляться сотрудником, имеющим доступ к работе с ПДн, и в соответствии с его должностными обязанностями.
7.5.3. Сотрудники, осуществляющие ввод и обработку данных с использованием ИСПДн, несут ответственность за достоверность и полноту введенной информации.
7.5.4. При работе с программными средствами ИСПДн Организации, реализующими функции просмотра и редактирования ПДн, должна быть запрещена демонстрация экранных форм, содержащих такие данные, лицам, не имеющим соответствующих должностных обязанностей.
7.5.5. Копировать и делать выписки ПДн сотрудника может быть разрешено исключительно в служебных целях с письменного разрешения руководителя или уполномоченного им лица, за исключением подразделений в служебные обязанности, которых входит обработка ПДн сотрудников.
7.5.6. В случае если Организации оказывают услуги юридические и физические лица наосновании заключенных договоров (либо иных оснований) и в силу данных договоров они должны иметь доступ к ПДн клиентов и\или сотрудников Организации, то соответствующие данные предоставляются Организацией только после подписания с лицами, осуществляющими обработку ПДн по поручению Организации, соответствующего договора (соглашения) о конфиденциальности, в котором должны быть определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должныбыть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 Закона № 152-ФЗ.
7.6. Передача ПДн2.6.1. Передача ПДн допускается в минимальных объемахи только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
7.6.2. При передаче ПДн субъекта ПДн третьим лицам, в том числе представителям субъекта ПДн, эта информация должнабыть ограничена только теми ПДн субъекта ПДн, которые необходимы для выполнения третьими лицами их функций.
7.6.3. Передача ПДн третьим лицам (включая надзорные органы) возможна только в случаях, прямо предусмотренных законодательными и нормативными актами, либо в случае согласия субъекта ПДн.
7.6.4. В случае если обязанность, либо возможность предоставления имеющихся в распоряжении Организации ПДн иным лицам (включая органы государственной и муниципальной власти) установлена законодательством, Организация обязана предоставить указанные данные в составе, виде и сроки, указанные в законодательных или нормативных актах.
7.6.5. Если обязанность предоставления ПДн фиксируется соответствующим запросом (ходатайством) уполномоченного лица, запрос подлежитобязательной проверке в целях контроля над обоснованностью предоставления запроса.
7.6.6. Любые запросы на раскрытие ПДн от третьих лиц, не являющихся субъектами раскрываемых ПДн, подлежат обязательному рассмотрению на предмет обоснованности.
7.6.7. При передаче ПДн третьим лицам Организация обязана уведомлять лиц, получивших ПДн, о том, что эти данные могут быть использованы лишь в целях, для которых они
сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие ПДн, обязаны соблюдать их конфиденциальность и безопасность.
7.6.8. ПДн могут быть переданы как на бумажном носителе, так и в электронном виде.
7.6.9. Средства криптографической защиты информации могут не применяться в случаях:
– передачи ПДн в пределах контролируемой зоны;
– при записи на учтенные машинные носители информации, включая сменные машинные носители информации.
7.6.10. Передача документов (иных материальных носителей), содержащих ПДн субъектов, может быть осуществлена при наличии у лица, уполномоченного на их получение договора (соглашения) о неразглашении конфиденциальной информации либо наличие в договоре с третьим лицом пунктов о неразглашении конфиденциальной информации, в том числе, предусматривающих защиту ПДн субъекта.
7.6.11. Передача информации, содержащей сведения о ПДн субъектов ПДн, по телефону, факсимильной связи, незащищенной электронной почте запрещается.
7.7. Трансграничная передача ПДнТрансграничная передачаПДн Организацией не осуществляется.
7.8. Обезличивание ПДн2.8.1. Обезличивание может производиться в целях предоставления статистической отчетности, агрегированной информации о деятельности Организации, а также в иных целях, предусмотренных действующим законодательством, например, по достижении целей их обработки или в случае утраты необходимости в достижении этих целей в соответствии со статьей 5 Закона № 152-ФЗ.
7.8.2. Обезличенные ПДн должны представлять собой информацию на бумажном или магнитном носителе, принадлежность которой к конкретному физическому лицу невозможно определить без использования дополнительной информации в силу произведенных при обработке ПДн действий, такими как:
– абстрагирование ПДн,
– скрытие ПДн,
– внесение шума в ПДн,
– замена ПДн,
– замена данных средним значением,
– разделение ПДн на части,
– использование специальных алгоритмов.
7.8.3. Лицо, ответственное за защиту ПДн субъекта обладает правом самостоятельного обезличивания ПДн. При необходимости получения иных обезличенных ПДн, сотрудники обязанынаправить соответствующему лицу,ответственному за защитуПДн клиентов, служебную записку с запросом соответствующих данных, если предоставление таких данных не осуществляется в рамках должностных обязанностей и регламентов.
6.1. Сроки хранения ПДн в Организации, в общем случае,определяются в соответствие со сроками, установленными Приказом Росархива от 20.12.2019 N 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», Приказом Федерального архивного агентства от 28 декабря 2021 г. N 142 «Об утверждении Перечня типовых архивных документов, образующихся в научно-технической и производственной деятельности организаций, с указанием сроков хранения», а также иными требованиями законодательства Российской Федерации(по срокам исковой давности, по оформлению трудовых отношений и т.д.), нормативных документов федеральных органов исполнительной власти, документов, фиксирующих договорные отношения Организации с субъектами ПДн, и согласий субъектов на обработку ПДн.
6.2. Сроки хранения ПДн должны содержаться в документах, подтверждающих получение согласия субъекта ПДн на обработку его ПДн или во внутренних локальных документах Организации.
6.3. Обработка ПДн должна быть прекращена в случаях:
– выявления неправомерных действийс ПДн до устранения допущенных нарушений;
– достижения цели обработки ПДн;
– отзыва субъектом ПДн согласия на обработку своих ПДн;
– прекращения деятельности Организации.
6.4. Процедура хранения ПДн в Организации должна проводиться в порядке, который позволяет осуществлять хранениеПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок их хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн
7. Порядок и условияобработки ПДн
7.1. Общие принципы обработки ПДн
7.1.1. Цели и способы обработки ПДн в Организации должны соответствовать требованиям Российского законодательства в области обработки и обеспечения безопасности ПДн.
7.1.2. Обработка ПДн в Организации может осуществляться в целях исполнения трудового законодательства Российской Федерации, в целях предоставления услуг по основным видам деятельности Организации, в целях осуществления взаимодействия с партнерами, подрядчиками и контрагентами в рамках договорных отношений и не может противоречить изначально заявленным при сборе ПДн целям.
7.1.3. В целях исполнения требований действующего законодательства РФ и своих договорных обязательств Организация может использовать как автоматизированную обработку ПДн, так и неавтоматизированную обработку с использованием бумажного документооборота.
7.1.4. Обрабатываемые ПДн должны быть достоверными, их объем и характер, а также способы обработки должны соответствовать изначально заявленным при сборе ПДн целям. Не допускается обработка ПДн, избыточных по отношению к заявленным целям.
7.1.5. ПДн подлежат правовой охране как сведения конфиденциального характера в соответствии с федеральным законодательством. Обеспечение конфиденциальности ПДн не требуется в отношении общедоступных ПДн.
7.2. Получение согласия субъектана обработку ПДн2.2.1. Обработка ПДн субъектов должна осуществляться с их согласия на обработку их ПДн, а также в иных случаях, предусмотренных статьей 6 Закона № 152-ФЗ.
7.2.2. В случаях, предусмотренных Законом № 152-ФЗ, обработка ПДн должна осуществляться только с согласия в письменной форме субъекта ПДн:
– Обработка специальных категорий ПДн,
– Обработка биометрических ПДн,
– Трансграничная передача ПДн в страны,не обеспечивающие адекватной защиты прав субъекта ПДн,
– Включение в общедоступные источники ПДн,
– Принятие решений на основании исключительно автоматизированной обработки ПДн.
7.2.3. При недееспособностисубъекта письменное согласие на обработку его данных дает его законный представитель.
7.2.4. Организация обязана иметь доказательство получения согласия клиента на обработку его ПДн (в том случае, если такое согласие является необходимым).
7.2.5. Согласие на обработку ПДн может быть дано субъектом или его законным представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку ПДн от представителя субъекта полномочия данного представителя должны быть проверены Организацией. Форма согласия может быть в письменной, в электронном виде через Сайт Организации, конклюдентной или иной форме, предусмотренной действующим законодательством.
7.2.6. Согласие на обработку ПДн может быть дано субъектом или его законнымпредставителем на Сайте Организации при заполнении веб-формы, путем проставления галочки или конклюдентным действием, для реализации следующих целей:
- Помощь в поиске инвесторов и подборе подходящих площадок для бизнеса, организация мероприятий с Правительством Приморского края и органамиместного самоуправления Приморского края,
- Публикация частной площадкина Сайте,
- Прием обращений инвестиционной тематики,
- Анализ пользовательской активности субъекта персональных данных на Сайте Оператора с помощью сервиса веб-аналитики «Яндекс Метрика» для улучшения работы Сайта.
7.2.7. Клиенты Организации дают конклюдентное согласиена обработку их ПДн в случаях:
– Предоставление удостоверения личностидля прохода на территорию Организации.
– Участие в опросах, проводимых Организацией.
7.2.8. В соответствии с пунктами2 - 11 части 1 статьи 6, а также пунктом 4 статьи 6 Закона
№ 152-ФЗ обработка ПДн можетосуществляться без согласиясубъекта на обработкуего ПДн:
– обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом,для осуществления и выполнения, возложенных законодательством Российской Федерации на Организация функций, полномочий и обязанностей;
– обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другогооргана или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
– обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому являетсясубъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
– обработка ПДн необходима для защиты жизни,здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
– обработка ПДн необходима для осуществления прав и законных интересов Организации или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
– обработка ПДн осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Закона№ 152-ФЗ, при условии обязательного обезличивания ПДн;
– осуществляется обработка ПДн, доступ неограниченного круга лиц, к которым предоставлен субъектом ПДн либо по его просьбе (далее – ПДн, сделанные общедоступными субъектом ПДн);
– осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом Российской Федерации.
В Организации к таким ситуацияммогут относиться:
– Взаимодействие с Пенсионным фондом РФ;
– Взаимодействие с налоговыми органами;
– Взаимодействие с таможенными органами;
– Взаимодействие с Федеральной службой финансового мониторинга;
– Взаимодействие с БанкомРоссии;
– Взаимодействие с органамипредварительного следствия;
– Взаимодействие с органамивнутренних дел;
– Взаимодействие с судебными органами;
– Взаимодействие со Счетнойпалатой Российской Федерации;
– Взаимодействие с Федеральным органом исполнительной власти в областифинансовых рынков;
– Взаимодействие с Фондомсоциального страхования Российской Федерации;
– Взаимодействие с органамипринудительного исполнения судебныхактов, актов других органов и должностных лиц;
– Взаимодействие с лицами,указанными клиентом Организации в завещательном распоряжении;
– Взаимодействие с нотариальными конторами;
– Оплата от именитретьего лица;
– Обработка доверенностей;
– Обработка ПДн представителей юридических лиц;
– Взаимодействия с иностранными консульскими учреждениями;
– Взаимодействие с региональными органами исполнительной власти.
7.3. Получение ПДн2.3.1. Получение ПДн субъектадолжно осуществляться лично, за исключением случаев получения ПДн из общедоступных источников.
7.3.2. Организация можетполучать ПДн клиентаот третьих лиц при условииналичия согласия на обработку и/или оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона № 152-ФЗ.
7.3.3. В таком случаеобязанность получения согласияна обработку ПДн лежит на передающей третьей стороне.
7.3.4. При необходимости получения дополнительных сведений о субъекте ПДн ему должен быть направлен соответствующий запросна получение дополнительных ПДн и согласия на их обработку с указанием целей, способов и сроков обработки этих ПДн.
7.3.5. Если ПДн получены не от субъекта ПДн и их обработка не поручена Организации оператором, Организация до начала обработкитаких ПДн обязанпредоставить субъекту ПДн следующую информацию:
– наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
– цель обработки ПДн и ее правовое основание;
– предполагаемые пользователи ПДн;
– установленные Законом № 152-ФЗправа субъекта ПДн;
– источник получения ПДн.
7.3.6. Источниками ПДн субъектов в Организации могут являться:
– Анкеты,
– Резюме,
– Договоры,
– Формы,
– Сайт Организации,
– Заявки/заявления,
– Информация из приёмной(рецепции),
– Телефон,
– Копии предоставляемых документов,
– иные источники в соответствии с действующим законодательством Российской Федерации.
7.4. Доступ к ПДн2.4.1. Доступ к ПДн, содержащимся как в ИСПДн Организации, так и на бумажных носителях, могут иметь сотрудники Организации, которым ПДн необходимы в связи с исполнением ими трудовых обязанностей.
7.4.2. При оформлении трудовых отношений сотрудники Организации должны подписывать Обязательство о неразглашении сведений, составляющих конфиденциальную информацию (в том числе и ПДн) и проходить обязательный инструктаж.
7.4.3. Также должно осуществляться ознакомление сотрудников под роспись с другими внутренними документами Организации по защите ПДн.
7.4.4. Каждый пользователь должен иметь индивидуальную учетную запись, которая определяет его права и полномочия в ИСПДн Организации. Информация об учетной записи не может быть передана другим лицам. Пользователь несет персональную ответственность за конфиденциальность сведений собственной учетной записи. Запрещено использование для доступа к ИСПДн Организации учетных записей других пользователей.
7.4.5. Созданием, удалением и изменением учетных записей пользователей автоматизированной информационной системы должны заниматься уполномоченные администраторы в соответствии с должностными обязанностями.
7.4.6. Список лиц (пользователей), допущенных к работе в ИСПДн, должен вестись в соответствии с утвержденными процедурами предоставления доступа к информационным ресурсам.
7.5. Использование ПДн2.5.1. ПДн субъектов ПДн могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде.
7.5.2. Ввод ПДн в ИСПДн Организации может осуществляться сотрудником, имеющим доступ к работе с ПДн, и в соответствии с его должностными обязанностями.
7.5.3. Сотрудники, осуществляющие ввод и обработку данных с использованием ИСПДн, несут ответственность за достоверность и полноту введенной информации.
7.5.4. При работе с программными средствами ИСПДн Организации, реализующими функции просмотра и редактирования ПДн, должна быть запрещена демонстрация экранных форм, содержащих такие данные, лицам, не имеющим соответствующих должностных обязанностей.
7.5.5. Копировать и делать выписки ПДн сотрудника может быть разрешено исключительно в служебных целях с письменного разрешения руководителя или уполномоченного им лица, за исключением подразделений в служебные обязанности, которых входит обработка ПДн сотрудников.
7.5.6. В случае если Организации оказывают услуги юридические и физические лица наосновании заключенных договоров (либо иных оснований) и в силу данных договоров они должны иметь доступ к ПДн клиентов и\или сотрудников Организации, то соответствующие данные предоставляются Организацией только после подписания с лицами, осуществляющими обработку ПДн по поручению Организации, соответствующего договора (соглашения) о конфиденциальности, в котором должны быть определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должныбыть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 Закона № 152-ФЗ.
7.6. Передача ПДн2.6.1. Передача ПДн допускается в минимальных объемахи только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
7.6.2. При передаче ПДн субъекта ПДн третьим лицам, в том числе представителям субъекта ПДн, эта информация должнабыть ограничена только теми ПДн субъекта ПДн, которые необходимы для выполнения третьими лицами их функций.
7.6.3. Передача ПДн третьим лицам (включая надзорные органы) возможна только в случаях, прямо предусмотренных законодательными и нормативными актами, либо в случае согласия субъекта ПДн.
7.6.4. В случае если обязанность, либо возможность предоставления имеющихся в распоряжении Организации ПДн иным лицам (включая органы государственной и муниципальной власти) установлена законодательством, Организация обязана предоставить указанные данные в составе, виде и сроки, указанные в законодательных или нормативных актах.
7.6.5. Если обязанность предоставления ПДн фиксируется соответствующим запросом (ходатайством) уполномоченного лица, запрос подлежитобязательной проверке в целях контроля над обоснованностью предоставления запроса.
7.6.6. Любые запросы на раскрытие ПДн от третьих лиц, не являющихся субъектами раскрываемых ПДн, подлежат обязательному рассмотрению на предмет обоснованности.
7.6.7. При передаче ПДн третьим лицам Организация обязана уведомлять лиц, получивших ПДн, о том, что эти данные могут быть использованы лишь в целях, для которых они
сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие ПДн, обязаны соблюдать их конфиденциальность и безопасность.
7.6.8. ПДн могут быть переданы как на бумажном носителе, так и в электронном виде.
7.6.9. Средства криптографической защиты информации могут не применяться в случаях:
– передачи ПДн в пределах контролируемой зоны;
– при записи на учтенные машинные носители информации, включая сменные машинные носители информации.
7.6.10. Передача документов (иных материальных носителей), содержащих ПДн субъектов, может быть осуществлена при наличии у лица, уполномоченного на их получение договора (соглашения) о неразглашении конфиденциальной информации либо наличие в договоре с третьим лицом пунктов о неразглашении конфиденциальной информации, в том числе, предусматривающих защиту ПДн субъекта.
7.6.11. Передача информации, содержащей сведения о ПДн субъектов ПДн, по телефону, факсимильной связи, незащищенной электронной почте запрещается.
7.7. Трансграничная передача ПДнТрансграничная передачаПДн Организацией не осуществляется.
7.8. Обезличивание ПДн2.8.1. Обезличивание может производиться в целях предоставления статистической отчетности, агрегированной информации о деятельности Организации, а также в иных целях, предусмотренных действующим законодательством, например, по достижении целей их обработки или в случае утраты необходимости в достижении этих целей в соответствии со статьей 5 Закона № 152-ФЗ.
7.8.2. Обезличенные ПДн должны представлять собой информацию на бумажном или магнитном носителе, принадлежность которой к конкретному физическому лицу невозможно определить без использования дополнительной информации в силу произведенных при обработке ПДн действий, такими как:
– абстрагирование ПДн,
– скрытие ПДн,
– внесение шума в ПДн,
– замена ПДн,
– замена данных средним значением,
– разделение ПДн на части,
– использование специальных алгоритмов.
7.8.3. Лицо, ответственное за защиту ПДн субъекта обладает правом самостоятельного обезличивания ПДн. При необходимости получения иных обезличенных ПДн, сотрудники обязанынаправить соответствующему лицу,ответственному за защитуПДн клиентов, служебную записку с запросом соответствующих данных, если предоставление таких данных не осуществляется в рамках должностных обязанностей и регламентов.
8. Прекращение обработки, уточнение, блокирование и уничтожение ПДн
8.1. В соответствии с Законом № 152-ФЗ (ч. 1, ч. 3 ст. 21) в случае выявления неправомерной обработки персональных данных при обращении субъекта ПДн или его представителя либо по запросусубъекта ПДн или его представителя либо уполномоченного органапо защите прав
субъектов ПДн Организация обязана осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных ПДн при обращениисубъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Организация обязана осуществить блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушаетправа и законные интересы субъекта ПДн или третьих лиц.
8.2. В случае подтверждения факта неточности ПДн Организация на основании сведений, представленных субъектомПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязана уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн.
8.3. В соответствии с Законом № 152-ФЗ в случае выявления неправомерной обработки ПДн (ч. 3 ст. 21),осуществляемой Организацией или лицом, действующим по поручениюОрганизации, Организация в срок, не превышающий трех рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Организации. В случае, если обеспечить правомерность обработки ПДн невозможно, Организация в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, обязана уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Организация обязана уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.
8.4. В соответствии с Законом№ 152-ФЗ в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн (ч. 3.1 ст. 21), повлекшей нарушение прав субъектов ПДн, Организация обязанас момента выявления такого инцидента самой Организацией, уполномоченным органом по защите прав субъектов ПДн или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов ПДн:
· в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведенияо лице, уполномоченном Организацией на взаимодействие с уполномоченным органом по защите прав субъектов ПДн, по вопросам, связанным с выявленным инцидентом;
· в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
8.5. В соответствии с Законом№ 152-ФЗ в случае достижения цели обработки ПДн (ч. 4 ст. 21) или в случае утраты необходимости в достижении этих целей (ч. 7 ст. 5) Организация обязана прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн
осуществляется другим лицом, действующим по поручению Организации) и уничтожить ПДн (либо провести обезличивание — ч. 7 ст. 5) или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом,действующим по поручениюОрганизации) в срок, непревышающий тридцать дней с даты достижения цели обработки ПДн, если иное непредусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Организацией и субъектом ПДн, либо если Организация не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Законом № 152-ФЗ или другими федеральными законами.
8.6. Процедура уничтожения ПДн или обеспечения их уничтожения должна быть выполненав законодательно установленный срок только в том случае, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Организацией и субъектом ПДн, либо если Организация не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Законом № 152-ФЗ или другими федеральными законами. Данное условие выполнения процедуры уничтожения проверяется в ходе вышеуказанной проверки.
8.7. В соответствии с Законом№ 152-ФЗ в случае отзываклиентом (субъектом ПДн) согласия на обработку его ПДн (ч. 5 ст. 21) Организация обязанапрекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Организации) и в случае,если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Организации) в срок, не превышающий тридцатьдней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является клиент (субъект ПДн), иным соглашением между Организацией и клиентом (субъектом ПДн), либо если Организация не вправе осуществлять обработку ПДн без согласия клиента (субъекта ПДн) на основаниях, предусмотренных Законом № 152-ФЗ или другими федеральными законами.
8.8. В соответствии с Законом№ 152-ФЗ в случае обращения субъекта ПДн к Организации с требованием о прекращении обработкиПДн (ч. 5.1 ст. 21) Организация обязанав срок, не превышающий десяти рабочих дней с даты получения соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки(если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Законом № 152-ФЗ. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Организацией в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
8.9. В случае отсутствия возможности уничтожения ПДн в течение срока, указанного в п. 8.5. настоящей Политики, Организация в соответствии с Законом № 152-ФЗ (ч. 6 ст. 21) осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Организации) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев,если иной срок не установлен федеральными законами.
8.10. В случае отсутствия возможности уничтожения ПДн по различным причинам, ответственным за организацию защиты ПДн, может приняться решениеоб обеспечении
уничтожения ПДн в срок не более чем шесть месяцев или иной срок, установленный федеральными законами. Решение должно быть оформлено распорядительным порядком.
9. Обработка пользовательских данных на Сайте Организации
9.1. На Сайте Организация может обрабатывать пользовательские ПДн для реализации следующих целей:
- Помощь в поиске инвесторов и подборе подходящих площадок для бизнеса, организация мероприятий с Правительством Приморского края и органами местного самоуправления Приморского края,
- Публикация частной площадкина Сайте,
- Прием обращений инвестиционной тематики.
- Анализ пользовательской активности субъекта персональных данных на Сайте Оператора с помощью сервиса веб-аналитики «Яндекс Метрика» для улучшения работы Сайта.
Согласие на обработку ПДн может быть дано субъектом или его законным представителем на Сайте Организации при заполнении веб-формы, путем проставления галочки или конклюдентным действием.
9.2. На Сайте Организация может обрабатывать пользовательские ПДн с помощью метрической программы Яндекс Метрика, сервиса Yandex SmartCaptcha и файлов Cookie.
9.3. Под обработкой пользовательских данных понимаются любые действия с использованием средств автоматизации, предусмотренные Законом № 152-ФЗ, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение обрабатываемых данных.
9.4. Выбор состава пользовательских данных для обработки зависит от используемого браузера и устройства.
9.5. Посетители Сайта Организации могут самостоятельно управлять передаваемыми пользовательскими данными при помощи настроек используемый ими браузера и (или) устройства.
9.6. Чтобы узнать, как управлять файлами «cookie» с помощью используемых браузера или устройства, необходимо воспользоваться инструкцией, предоставляемой разработчиком браузера или производителем устройства, которые использует посетитель.
9.7. Обрабатываемые файлы «cookie» уничтожаются по достижении указанных выше целей обработки или в случае утраты необходимости в достижении этих целей.
9.8. Для достижения целей обработки пользовательских данных, Организация может разрешать сторонним метрическим сервисамсамостоятельно осуществлять обработкупользовательских данных, предоставляя Организации доступ к статистической информации, полученной в результате такой обработки.
9.9. Пользователь может дополнительно ознакомиться с принципами безопасности и конфиденциальности сторонних метрических сервисов в сети Интернет
9.10. Сторонние метрические сервисы несут ответственность за обработку данных самостоятельно, если иное не предусмотрено условиямииспользования метрического сервиса.
10. Защита персональных данных
10.1. При обработке ПДн Организация принимает организационные и технические меры для защиты ПДн от неправомерных действий в соответствии с требованиями, устанавливаемыми Правительством РФ.
10.2. Обеспечение защищённости ПДн достигается, за счёт проведения следующих мероприятий (но не ограничивается ими):
· назначение приказомлиц, ответственных за правильную организацию работ по обработке и защите ПД;
· ограничение круга лиц, которым может быть предоставлен доступ к ПДн;
· ознакомление субъектовс нормами Закона № 152-ФЗ, других нормативных документов, применяемых Организацией для обработки и защиты ПДн;
· организация строгого учета, хранения, использования носителейПДн;
· определением перечняугроз, влияющих на безопасность ПД во время обработки;
· разработка технического задания на созданиесистемы защиты ПДн;
· выбор и применение средств защиты информации;
· создание эффективной системы защиты информации;
· проверка эффективности работы средств защитыинформации;
· разграничение возможности доступа пользователей к ПДн и к средствампрограммно- аппаратного обеспечения по обработке данных;
· регистрация действияпользователей таких систем;
· организация контролируемой зоны, в которойведется обработка ПДн.
11. Порядок действия и изменения Политики
11.1. Настоящая Политикавступает в силу с момента ее утверждения руководителем Организации и действует бессрочно до замены ее новой Политикой.
11.2. Требования настоящей Политики могут детализироваться и дополняться другим внутренними нормативными документами Организации.
11.3. В случае изменения действующего законодательства и иных нормативных актов, а также Устава Организации настоящая Политика может быть изменена. Изменения к Политике применяются в части, не противоречащей вновь принятым законодательным и иным нормативным актам, а также Уставу Организации.
11.4. Ответственными за внесение изменений в настоящую Политику являются ответственным за обработку ПДн Организации.
8.1. В соответствии с Законом № 152-ФЗ (ч. 1, ч. 3 ст. 21) в случае выявления неправомерной обработки персональных данных при обращении субъекта ПДн или его представителя либо по запросусубъекта ПДн или его представителя либо уполномоченного органапо защите прав
субъектов ПДн Организация обязана осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных ПДн при обращениисубъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Организация обязана осуществить блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушаетправа и законные интересы субъекта ПДн или третьих лиц.
8.2. В случае подтверждения факта неточности ПДн Организация на основании сведений, представленных субъектомПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязана уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн.
8.3. В соответствии с Законом № 152-ФЗ в случае выявления неправомерной обработки ПДн (ч. 3 ст. 21),осуществляемой Организацией или лицом, действующим по поручениюОрганизации, Организация в срок, не превышающий трех рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Организации. В случае, если обеспечить правомерность обработки ПДн невозможно, Организация в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, обязана уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Организация обязана уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.
8.4. В соответствии с Законом№ 152-ФЗ в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн (ч. 3.1 ст. 21), повлекшей нарушение прав субъектов ПДн, Организация обязанас момента выявления такого инцидента самой Организацией, уполномоченным органом по защите прав субъектов ПДн или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов ПДн:
· в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведенияо лице, уполномоченном Организацией на взаимодействие с уполномоченным органом по защите прав субъектов ПДн, по вопросам, связанным с выявленным инцидентом;
· в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
8.5. В соответствии с Законом№ 152-ФЗ в случае достижения цели обработки ПДн (ч. 4 ст. 21) или в случае утраты необходимости в достижении этих целей (ч. 7 ст. 5) Организация обязана прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн
осуществляется другим лицом, действующим по поручению Организации) и уничтожить ПДн (либо провести обезличивание — ч. 7 ст. 5) или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом,действующим по поручениюОрганизации) в срок, непревышающий тридцать дней с даты достижения цели обработки ПДн, если иное непредусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Организацией и субъектом ПДн, либо если Организация не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Законом № 152-ФЗ или другими федеральными законами.
8.6. Процедура уничтожения ПДн или обеспечения их уничтожения должна быть выполненав законодательно установленный срок только в том случае, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Организацией и субъектом ПДн, либо если Организация не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Законом № 152-ФЗ или другими федеральными законами. Данное условие выполнения процедуры уничтожения проверяется в ходе вышеуказанной проверки.
8.7. В соответствии с Законом№ 152-ФЗ в случае отзываклиентом (субъектом ПДн) согласия на обработку его ПДн (ч. 5 ст. 21) Организация обязанапрекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Организации) и в случае,если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Организации) в срок, не превышающий тридцатьдней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является клиент (субъект ПДн), иным соглашением между Организацией и клиентом (субъектом ПДн), либо если Организация не вправе осуществлять обработку ПДн без согласия клиента (субъекта ПДн) на основаниях, предусмотренных Законом № 152-ФЗ или другими федеральными законами.
8.8. В соответствии с Законом№ 152-ФЗ в случае обращения субъекта ПДн к Организации с требованием о прекращении обработкиПДн (ч. 5.1 ст. 21) Организация обязанав срок, не превышающий десяти рабочих дней с даты получения соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки(если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Законом № 152-ФЗ. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Организацией в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
8.9. В случае отсутствия возможности уничтожения ПДн в течение срока, указанного в п. 8.5. настоящей Политики, Организация в соответствии с Законом № 152-ФЗ (ч. 6 ст. 21) осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Организации) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев,если иной срок не установлен федеральными законами.
8.10. В случае отсутствия возможности уничтожения ПДн по различным причинам, ответственным за организацию защиты ПДн, может приняться решениеоб обеспечении
уничтожения ПДн в срок не более чем шесть месяцев или иной срок, установленный федеральными законами. Решение должно быть оформлено распорядительным порядком.
9. Обработка пользовательских данных на Сайте Организации
9.1. На Сайте Организация может обрабатывать пользовательские ПДн для реализации следующих целей:
- Помощь в поиске инвесторов и подборе подходящих площадок для бизнеса, организация мероприятий с Правительством Приморского края и органами местного самоуправления Приморского края,
- Публикация частной площадкина Сайте,
- Прием обращений инвестиционной тематики.
- Анализ пользовательской активности субъекта персональных данных на Сайте Оператора с помощью сервиса веб-аналитики «Яндекс Метрика» для улучшения работы Сайта.
Согласие на обработку ПДн может быть дано субъектом или его законным представителем на Сайте Организации при заполнении веб-формы, путем проставления галочки или конклюдентным действием.
9.2. На Сайте Организация может обрабатывать пользовательские ПДн с помощью метрической программы Яндекс Метрика, сервиса Yandex SmartCaptcha и файлов Cookie.
9.3. Под обработкой пользовательских данных понимаются любые действия с использованием средств автоматизации, предусмотренные Законом № 152-ФЗ, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение обрабатываемых данных.
9.4. Выбор состава пользовательских данных для обработки зависит от используемого браузера и устройства.
9.5. Посетители Сайта Организации могут самостоятельно управлять передаваемыми пользовательскими данными при помощи настроек используемый ими браузера и (или) устройства.
9.6. Чтобы узнать, как управлять файлами «cookie» с помощью используемых браузера или устройства, необходимо воспользоваться инструкцией, предоставляемой разработчиком браузера или производителем устройства, которые использует посетитель.
9.7. Обрабатываемые файлы «cookie» уничтожаются по достижении указанных выше целей обработки или в случае утраты необходимости в достижении этих целей.
9.8. Для достижения целей обработки пользовательских данных, Организация может разрешать сторонним метрическим сервисамсамостоятельно осуществлять обработкупользовательских данных, предоставляя Организации доступ к статистической информации, полученной в результате такой обработки.
9.9. Пользователь может дополнительно ознакомиться с принципами безопасности и конфиденциальности сторонних метрических сервисов в сети Интернет
9.10. Сторонние метрические сервисы несут ответственность за обработку данных самостоятельно, если иное не предусмотрено условиямииспользования метрического сервиса.
10. Защита персональных данных
10.1. При обработке ПДн Организация принимает организационные и технические меры для защиты ПДн от неправомерных действий в соответствии с требованиями, устанавливаемыми Правительством РФ.
10.2. Обеспечение защищённости ПДн достигается, за счёт проведения следующих мероприятий (но не ограничивается ими):
· назначение приказомлиц, ответственных за правильную организацию работ по обработке и защите ПД;
· ограничение круга лиц, которым может быть предоставлен доступ к ПДн;
· ознакомление субъектовс нормами Закона № 152-ФЗ, других нормативных документов, применяемых Организацией для обработки и защиты ПДн;
· организация строгого учета, хранения, использования носителейПДн;
· определением перечняугроз, влияющих на безопасность ПД во время обработки;
· разработка технического задания на созданиесистемы защиты ПДн;
· выбор и применение средств защиты информации;
· создание эффективной системы защиты информации;
· проверка эффективности работы средств защитыинформации;
· разграничение возможности доступа пользователей к ПДн и к средствампрограммно- аппаратного обеспечения по обработке данных;
· регистрация действияпользователей таких систем;
· организация контролируемой зоны, в которойведется обработка ПДн.
11. Порядок действия и изменения Политики
11.1. Настоящая Политикавступает в силу с момента ее утверждения руководителем Организации и действует бессрочно до замены ее новой Политикой.
11.2. Требования настоящей Политики могут детализироваться и дополняться другим внутренними нормативными документами Организации.
11.3. В случае изменения действующего законодательства и иных нормативных актов, а также Устава Организации настоящая Политика может быть изменена. Изменения к Политике применяются в части, не противоречащей вновь принятым законодательным и иным нормативным актам, а также Уставу Организации.
11.4. Ответственными за внесение изменений в настоящую Политику являются ответственным за обработку ПДн Организации.