Политика защиты и обработки персональных данных

1. Общие положения

1. Настоящий документ определяет Политику обработки персональных данных в ООО «НИЦ «Территориальные Информационные Системы» (далее – «Оператор») в отношении обработки персональных данных и реализации требований к защите персональных данных (далее – «Политика») в соответствии со статьей 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
2. Политика разработана в соответствии с действующим законодательством Российской Федерации о персональных данных и распространяется на все процессы Оператора, связанные с обработкой персональных данных.
3. Политика является общедоступным документом, декларирующим основы деятельности Оператора при обработке персональных данных, и подлежит опубликованию на официальном сайте Оператора в информационно-телекоммуникационной сети «Интернет» (далее – сеть «Интернет») по адресу: https://eye.dattel.ru/ (далее – «сайт Оператора»).
4. Цель разработки Положения - определение порядка обработки персональных данных Клиентов, персональные данные которых подлежат обработке, на основании полномочий оператора.

2. Основные понятия

1. В настоящей Политике используются следующие понятия, термины и сокращения:
   • Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
   • Оператор – общество с ограниченной ответственностью «Научно-Исследовательский Центр «Территориальные Информационные Системы» (юридический адрес: 656067, Алтайский край, город Барнаул, ул. Шумакова, д. 16, помещ. н12; ОГРН 1032202182385; ИНН 2224084071, lawalbatro@yandex.ru). Оператор является юридическим лицом, осуществляющим предпринимательскую деятельность, самостоятельно организующим и осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
   • Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, удаление, уничтожение персональных данных;
   • Клиент – физическое или юридическое лицо, имеющий намерение узнать условия сотрудничества и (или) заключить договор с ООО «НИЦ «Территориальные Информационные Системы».
   • Конфиденциальность персональных данных – обязанность не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
   • Субъект персональных данных (далее – субъект ПДн) – физическое или юридическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
   • Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.
   • Куки (cookies) – хранящиеся на компьютерах и гаджетах файлы, с помощью которых сайт запоминает информацию о посещениях пользователя.
2. В состав персональных данных Клиентов входят сведения, которые были предоставлены непосредственно самим Клиентом:
   • Имя;
   • Номер телефона.

3. Правовые основания обработки персональных данных

Политика Оператора в области обработки ПДн определяется в соответствии с:

• Конституцией Российской Федерации;
• Гражданским кодексом Российской Федерации;
• Федеральным законом от 27.07.2006 № 149-ФЗ «Об информатизации, информационных технологиях и о защите информации»;
• Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• другими нормативно-правовыми актами Российской Федерации, относящиеся к вопросу обработки и защиты персональных данных;
• локальными актами;
• согласием на обработку персональных данных субъектов персональных данных.

4. Принципы обработки ПДн

1. Обработка ПДн осуществляется Оператором на основании следующих принципов:
   • обработка ПДн соответствует целям их обработки;
   • содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки;
   • при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн (принимаются необходимые меры по удалению или уточнению неполных или неточных данных);
   • обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
   • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместных между собой;
   • хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн (обрабатываемые ПДн по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, подлежат уничтожению либо обезличиванию).
2. Субъекты персональных данных несут ответственность за предоставление Оператору достоверных сведений, а также за своевременное обновление предоставленных данных в случае каких-либо изменений.

5. Цели сбора персональных данных

1. Обработке подлежат только те персональные данные, которые отвечают целям их обработки. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2. Клиент всегда может отказаться от обработки персональных данных, направив Оператору письмо на адрес электронной почты: lawalbatro@yandex.ru с пометкой «Отзыв согласия на обработку персональных данных».
3. Оператор обрабатывает обезличенные данные о Клиенте в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie»).
4. Правовыми основаниями Обработки персональных данных, в соответствии с настоящей Политикой, является Согласие на обработку персональных данных.

6. Объем и категории обрабатываемых персональных данных, субъекты персональных данных

1. Персональные данные, указанные разделе 2 в пункте 2 настоящей Политики, обрабатываются в объемах, необходимых для достижения целей, предусмотренных в разделе 5 настоящей Политики. Оператор обрабатывает персональные данные, относящиеся к общей категории.
2. Оператор гарантирует, что содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки, а сами обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.
3. Субъектами персональных данных являются граждане и юридические лица, которые оставили заявку на Сайте и дали Согласие на обработку персональных данных.

7. Порядок и условия обработки персональных данных

1. Обработка персональных данных Клиентов осуществляется 15 лет или до момента отзыва субъектом персональных данных своего Согласия на ОПД, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств.
2. Обработка персональных данных начинается с момента получения персональных данных. После заполнения всех данных для подачи заявки, лицо, имеющее намерение узнать условия сотрудничества и (или) заключить договор с ООО «НИЦ «Территориальные Информационные Системы», подтверждает правильность и достоверность указанных им данных и выражает желание подать заявку путем нажатия на кнопку «Получить консультацию» или иного, аналогичного ему по функциональному назначению. Данным действием он соглашается с Политикой обработки персональных данных и дает согласие на обработку персональных данных.
3. Любая информация, которая передана Оператору в устной или письменной форме посредством информационно-телекоммуникационной сети «Интернет» либо иным способом, считается конфиденциальной.
4. Хранение персональных данных осуществляется в форме, позволяющей определить Клиента, в сроки, указанные в Согласии на обработку персональных данных.
5. Оператор обязан принимать меры в целях обеспечения защиты персональных данных Субъектов персональных данных от неправомерного или случайного доступа к ним третьими лицами, включая меры по уничтожению, изменению, блокированию, ограничению копирования и (или) распространения. В случае утечки персональных данных субъекта, оператор, в срок, не превышающий 24 часа предпринимает меры по реализации процедуры уведомления управления Роскомнадзора, поиску потенциально виновных лиц в утечке информации и предпринимает иные действия согласно регламенту реагирования на утечку персональных данных.
6. В случае выявления неточностей в персональных данных Клиент может актуализировать их самостоятельно, путем направления Оператору уведомления на адрес электронной почты Оператора с пометкой «Актуализация персональных данных» или в устной форме по телефонному звонку.
7. Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора с пометкой «Отзыв согласия на обработку персональных данных» или в устной форме по телефонному звонку.

8. Передача и хранение персональных данных

При передаче персональных данных клиента Оператор должен соблюдать следующие требования:

• Не сообщать персональные данные клиента третьей стороне без письменного согласия клиента за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральным законом.
• Не сообщать персональные данные клиента в коммерческих целях без его письменного согласия.
• Обработка персональных данных клиента в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи допускается только с его предварительного согласия.
• Разрешать доступ к персональным данным клиента только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные посетителя сайта, клиента, которые необходимы для выполнения конкретной функции.

9. Обработка ПДн Оператором

1. Цели обработки ПДн:

   Оператор осуществляет обработку ПДн исключительно в целях:

   • Для связи с клиентом, оставившим заявку на обратную связь для получения условий сотрудничества;
   • Установление обратной связи, в том числе в мессенджерах, направление уведомлений, запросов, касающихся заключения договора;
   • в иных целях, прямо предусмотренных законом.

   Обработке Оператором подлежат только те ПДн, которые отвечают указанным выше целям их обработки. ПДн не подлежат обработке в случае несоответствия их характера и объема поставленным целям.

   Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу ПДн.

2. Перечень действий с ПДн и способы их обработки:

   Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, удаление, уничтожение персональных данных.

   Обработка ПДн Оператором ведется:

   • с использованием средств автоматизации (автоматизированная обработка ПДн);
   • без использования средств автоматизации.
3. Получение ПДн Оператором:

   Все ПДн следует получать от самого субъекта ПДн.

4. Хранение ПДн:

   Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

   Персональные данные субъектов персональных данных подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не установлено федеральными законами.

   Подлежащие уничтожению документы или иные материальные носители персональных данных должны быть уничтожены без возможности восстановления (например, в бумагорезательных машинах) с составлением акта. Для машинных носителей допускается гарантированное удаление информации.

5. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

   Пользователь вправе обратиться к Оператору с запросом о предоставлении информации, касающейся обработки его персональных данных, уточнении персональных данных, их уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки (далее – «Запрос»).

   Запрос направляется на электронный адрес Оператора: lawalbatro@yandex.ru. Оператор обязан дать ответ и исполнить требование на Запрос не позднее 7 рабочих дней с даты его получения. Сведения должны быть предоставлены Субъекту персональных данных Оператором в доступной форме, и должны содержать информацию только о Субъекте персональных данных, направившего Запрос.

6. Меры по обеспечению безопасности ПДн при их обработке

   Оператор при обработке ПДн принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности ПДн достигается, в частности, следующими способами:

   • назначением лиц, ответственных за организацию обработки ПДн;
   • изданием локальных актов по вопросам обработки ПДн;
   • обеспечением раздельного хранения ПДн и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории ПДн;
   • хранением материальных носителей ПДн с соблюдением условий, обеспечивающих сохранность ПДн и исключающих несанкционированный доступ к ним;
   • выявлением фактов несанкционированного доступа к ПДн и принятием соответствующих мер;
   • восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
   • иными мерами, предусмотренными законодательством Российской Федерации в области ПДн.

10. Основные права субъекта ПДн и обязанности Оператора

1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
   • подтверждение факта обработки ПДн Оператором;
   • правовые основания и цели обработки ПДн;
   • цели и применяемые Оператором способы обработки ПДн;
   • наименование и место нахождения Оператора, сведения о лицах (за исключением Работников), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;
   • обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
   • сроки обработки ПДн, в том числе сроки их хранения;
   • порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
   • субъект ПДн вправе требовать от Оператора уточнения его ПДн, их уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
   • иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
2. Обязанности Оператора:
   • при сборе ПДн предоставить информацию об обработке его ПДн;
   • в случаях если ПДн были получены не от субъекта ПДн, уведомить субъекта ПДн, если иное не предусмотрено федеральными законами;
   • опубликовать или иным образом обеспечить неограниченный доступ к Политике;
   • принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
   • иные обязанности, предусмотренные законодательством Российской Федерации.
3. Лица, виновные в нарушении положений законодательства Российской Федерации в области ПДн при обработке ПДн, привлекаются к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
4. В случае уничтожения ПДн по запросу субъекта ПДн или его представителя, уведомить об этом субъекта ПДн или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.
5. В случае отзыва субъектом ПДн согласия на обработку своих ПДн, прекратить обработку ПДн и уничтожить ПДн в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и субъектом ПДн. Об уничтожении ПДн Компания обязана уведомить субъекта ПДн.
6. В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных, Оператор в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, обязана прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев предусмотренных ФЗ «О персональных данных».
7. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, отдельно указанных в ФЗ «О персональных данных».
8. По запросу уполномоченного органа по защите прав субъектов ПДн предоставить документы и локальные акты, по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных предусмотренных законом случаев.