9 ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ9.1 АРДМ осуществляет обработку ПДн следующими способами:
неавтоматизированная обработка ПДн;
автоматизированная обработка ПДн;
смешанная обработка ПДн (обработка ПДн как с использованием средств автоматизации, так и без них).
9.2 Обработка ПДн включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ, распространение), блокирование, удаление, уничтожение, резервное копирование ПДн.
9.3 В случае, когда субъект ПДн дал согласие на обработку ПДн, разрешенных для распространения, такое согласие оформляется отдельно от иных согласий субъекта ПДн. Требования к содержанию согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 № 18.
9.4 Срок хранения ПДн, обрабатываемых в ИСПДн, соответствует сроку хранения ПДн на бумажных носителях.
9.5 ПДн на бумажных носителях хранятся в АРДМ в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ. В этом случае субъект ПДн не может запретить обработку ПДн или отозвать ПДн, обработку которых АРДМ осуществляет в соответствии с действующим архивным законодательством РФ.
9.6 АРДМ прекращает обработку ПДн в следующих случаях:
выявлен факт их неправомерной обработки;
достигнута цель их обработки или утрачена необходимость достигать эту цель;
истек срок действия или отозвано согласие субъекта ПДн на обработку указанных данных, когда обработка этих данных допускается только с согласия.
9.7 При достижении целей обработки ПДн или в случае утраты необходимости в достижении этой цели, а также в случае отзыва субъектом ПДн согласия на их обработку, АРДМ прекращает обработку этих данных, если:
законодательством РФ не предусмотрены случаи, допускающие обработку ПДн без согласия субъекта;
иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
иное не предусмотрено другим соглашением между АРДМ и субъектом ПДн.
9.8 Доступ к обрабатываемым ПДн предоставляется только тем работникам, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности.
9.9 Лица, допущенные к ПДн, обязаны не предоставлять третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством РФ.
9.10 Работник АРДМ, осуществляющий сбор (получение) ПДн непосредственно от субъектов ПДн, обязан разъяснить субъекту ПДн юридические последствия отказа предоставить ПДн и (или) дать согласие на их обработку.
9.11 АРДМ, помимо деятельности в качестве оператора ПДн, может выступать как лицо, осуществляющее обработку ПДн по поручению других операторов ПДн на основании договоров и иных соглашений.
9.12 АРДМ имеет право привлекать третьих лиц к обработке ПДн, а также получать от них ПДн в целях, указанных в настоящей Политике. При получении ПДн от третьих лиц АРДМ не получает согласие на обработку ПДн от субъекта ПДн при условии соблюдения принципов обработки ПДн и наличия с третьим лицом соответствующего договора или соглашения.
9.13 Обработка ПДн на основании договоров, соглашений и/или поручений на обработку ПДн осуществляется в соответствии с условиями этих договоров, соглашений и/или поручений, которые должны определять, в частности:
цели, условия, действия с ПДн, сроки обработки ПДн;
роли, функции и обязательства сторон, в том числе меры по обеспечению их безопасности;
права и ответственность сторон, касающиеся обработки ПДн.
9.14 К числу третьих лиц, которым могут быть переданы ПДн с соблюдением требований законодательства РФ, в частности, относятся:
компании, оказывающие услуги по ведению кадрового/бухгалтерского учета, административного/юридического сопровождения, по обучению/повышению квалификации/аттестации, по бронированию билетов/проживания/трансферов и иные услуги;
государственные, муниципальные, судебные, контролирующие, надзорные и иные органы и лица, право на получение информации, которых установлено действующим законодательством РФ и является обязательным для АРДМ;
иные случаи.
9.15 АРДМ принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн.
9.16 АРДМ реализует меры по организации обработки и обеспечению безопасности ПДн:
для каждой категории ПДн определены места хранения ПДн (материальных носителей) и установлен перечень лиц, осуществляющих обработку ПДн и имеющих к ним доступ;
обеспечено раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях;
соблюдаются условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ при хранении материальных носителей;
назначены ответственные за обработку ПДн и за обеспечение безопасности при обработке ПДн;
изданы локальные нормативные акты по вопросам обработки и защиты ПДн и с ними ознакомлены работники;
проводится обучение работников по вопросам обработки ПДн, обеспечения информационной безопасности;
обеспечиваются физическая безопасность помещений и средств обработки;
обеспечиваются ограничение и разграничение доступа работников и иных лиц к персональным данным и средствам обработки, мониторинг действий с ПДн;
определяются угрозы безопасности ПДн при их обработке в ИСПДн;
определяется уровень защищенности ПДн при их обработке в ИСПДн;
выполняются требования по защите ПДн в ИСПДн в соответствии с определенными уровнями защищенности ПДн;
применяются средства защиты информации;
осуществляется оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
осуществляется учет машинных носителей ПДн;
осуществляется обнаружение фактов НСД к ПДн и принятие необходимых мер;
разработаны процедуры, регламентирующие восстановление ПДн, модифицированных или уничтоженных вследствие НСД к ним;
устанавливаются правила доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечивается регистрация и учет действий, совершаемых с персональными данными в ИСПДн, там, где это необходимо;
контролируются принимаемые меры по обеспечению безопасности ПДн и уровень защищенности ИСПДн;
осуществляется оценка вреда, который может быть причинен субъектам ПДн в случае нарушения законодательства РФ, установлено и периодически актуализируется/пересматривается соотношение указанного вреда и принимаемых мер;
осуществляется регулярный внутренний контроль/аудит соответствия обработки и обеспечения безопасности ПДн действующему законодательству РФ в области обработки и обеспечения безопасности ПДн.
9.17 АРДМ не осуществляет трансграничную передачу ПДн.
9.18 В АРДМ могут создаваться общедоступные источники ПДн (в том числе справочники, адресные книги).
10 АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ, УНИЧТОЖЕНИЕ, БЛОКИРОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ10.1 Подтверждение факта обработки ПДн в АРДМ, правовые основания и цели обработки ПДн, а также иные сведения, предоставляются АРДМ субъекту ПДн или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта ПДн или его представителя. Данный срок может быть продлен, но не более чем на 5 рабочих дней. Для этого АРДМ следует направить субъекту ПДн мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
В предоставляемые сведения не включаются ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких ПДн.
Запрос должен содержать:
номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
сведения, подтверждающие участие субъекта ПДн в отношениях с АРДМ (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн в АРДМ;
подпись субъекта ПДн или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
АРДМ предоставляет сведения субъекту ПДн или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Если в обращении (запросе) субъекта ПДн не отражены все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с законодательством РФ, в том числе если доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.
10.2 В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу Роскомнадзора АРДМ осуществляет блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению АРДМ) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.
В случае подтверждения факта неточности ПДн АРДМ на основании сведений, представленных субъектом ПДн или его представителем либо Роскомнадзором, или иных необходимых документов уточняет ПДн либо обеспечивает их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению АРДМ) в течение 7 рабочих дней со дня представления таких сведений и снимает блокирование ПДн.
10.3 В случае выявления неправомерной обработки ПДн, осуществляемой АРДМ или лицом, действующим по поручению АРДМ, АРДМ в срок, не превышающий 3 рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению АРДМ. В случае, если обеспечить правомерность обработки ПДн невозможно, АРДМ в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки ПДн, обязан уничтожить такие ПДн или обеспечить их уничтожение.
10.4 В случае отсутствия возможности уничтожения ПДн в течение срока, установленного законодательством РФ, АРДМ осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и уничтожение ПДн в срок не более чем 6 месяцев, если иной срок не установлен законодательством РФ.
10.5 При обращении субъекта ПДн в АРДМ с требованием о прекращении обработки ПДн в срок, не превышающий 10 рабочих дней с даты получения соответствующего требования, АРДМ прекращает обработку ПДн или обеспечивает ее прекращение, за исключением случаев, предусмотренных законодательством РФ. Указанный срок может быть продлен, но не более чем на 5 рабочих дней. Для этого АРДМ необходимо направить субъекту ПДн мотивированное уведомление с указанием причин продления срока.
10.6 При выявлении АРДМ, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) ПДн (доступа к ПДн), повлекшей нарушение прав субъектов ПДн, АРДМ:
в течение 24 часов – уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов ПДн, предполагаемом вреде, нанесенном правам субъектов ПДн, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом;
в течение 72 часов – уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
10.7 Условия и сроки уничтожения ПДн в АРДМ:
достижение цели обработки ПДн либо утрата необходимости достигать эту цель – в течение 30 дней с даты достижения цели обработки ПДн или утраты необходимости достигать эту цель;
предоставление субъектом ПДн (его представителем) подтверждения того, что ПДн получены незаконно или не являются необходимыми для заявленной цели обработки – в течение 7 рабочих дней со дня представления таких сведений;
отзыв субъектом ПДн согласия на обработку его ПДн, если их сохранение для цели их обработки более не требуется, – в течение 30 дней с даты поступления указанного отзыва.
10.8 При достижении цели обработки ПДн, а также в случае отзыва субъектом ПДн согласия на их обработку, ПДн подлежат уничтожению, если:
иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
АРДМ не вправе осуществлять обработку без согласия субъекта ПДн на основаниях, предусмотренных законодательством РФ;
иное не предусмотрено другим соглашением между АРДМ и субъектом ПДн.
10.9 Уничтожение ПДн осуществляет комиссия по вопросам обработки и защиты ПДн, созданная приказом по компании.
10.10 Способы и порядок уничтожения ПДн установлены в локальных нормативных актах АРДМ.
11 ОБРАБОТКА ЭЛЕКТРОННЫХ ПОЛЬЗОВАТЕЛЬСКИХ ДАННЫХ, ВКЛЮЧАЯ COOKIE11.1 АРДМ в целях обработки ПДн, установленных Политикой, может автоматически собирать электронные пользовательские данные, включая «cookie», на своих сайтах, без необходимости участия посетителей сайтов и совершения ими каких-либо действий по отправке данных. Обработка таких данных необходима для продвижения товаров и услуг АРДМ, включая адаптацию сайта для удобного взаимодействия посетителя с ним в течение определенного периода времени.
11.2 Достоверность собранных таким способом электронных данных в АРДМ не проверяется, информация обрабатывается в том виде, в каком она поступила с клиентского устройства.
11.3 Основанием обработки (в том числе передачи) электронных пользовательских данных, включая «cookie», является согласие на обработку ПДн, предоставляемое посетителями сайтов путем совершения конклюдентных действий:
нажатие кнопки, например, «Я принимаю»;
закрытие уведомления о сборе и обработке таких данных;
продолжение использования сайтов.
11.4 В случае несогласия с порядком использования электронных пользовательских данных, включая «cookie», посетители сайтов могут ограничить их использование в настройках браузера (при этом не гарантирована корректная работа всех функций сайта), покинуть или не использовать сайты АРДМ.
11.5 Информация о посещении сайтов, о действиях посетителей на сайтах может фиксироваться и передаваться в специализированные аналитические сервисы в целях, предусмотренных настоящей Политикой. К таким сервисам могут относится, например, «Яндекс.Метрика», «Yandex SmartCaptcha», инструменты статистики Tilda и другие. Данные, собираемые такими сервисами, могут также получать и обрабатывать третьи лица, например, ООО «Яндекс» (политика конфиденциальности: https://yandex.ru/legal/confidential/), ООО «Тильда Паблишинг» (политика конфиденциальности: https://tilda.cc/ru/privacy/).
12 ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ12.1 Субъект ПДн имеет право:
получать информацию, касающуюся обработки его ПДн, за исключением случаев, предусмотренных законодательством РФ. Сведения предоставляются субъекту ПДн АРДМ в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких ПДн. Перечень информации и порядок ее получения установлен законодательством РФ;
требовать от АРДМ уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
дать предварительное согласие на обработку ПДн в целях продвижения на рынке товаров, работ и услуг;
обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие АРДМ при обработке его ПДн;
на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
иные права, предусмотренные законодательством РФ.
13 ПРАВА И ОБЯЗАННОСТИ АРДМ ПРИ СБОРЕ И ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ13.1 АРДМ имеет право:
самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством РФ;
поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено законодательством РФ, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку ПДн по поручению АРДМ, обязано соблюдать принципы и правила обработки ПДн, предусмотренные законодательством РФ, соблюдать конфиденциальность ПДн, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных законодательством РФ;
в случае отзыва субъектом ПДн согласия на обработку ПДн АРДМ вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в законодательстве РФ;
иные права, предусмотренные законодательством РФ.
13.2 АРДМ обязан:
организовывать обработку ПДн в соответствии с требованиями законодательства РФ;
отвечать на обращения и запросы субъектов ПДн и их законных представителей в соответствии с требованиями законодательства РФ;
сообщать в Роскомнадзор по его запросу необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого АРДМ необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;
в порядке, определенном ФСБ России, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) ПДн;
иные обязанности, предусмотренные законодательством РФ.
14 ВНЕСЕНИЕ ИЗМЕНЕНИЙИнициатором разработки изменения может быть любое заинтересованное подразделение компании. Разработку изменений к Политике осуществляет владелец документа.
15 ПРИЛОЖЕНИЯПриложение 1. Цели, перечень субъектов персональных данных, чьи персональные данные обрабатываются в АРДМ, и сроки обработки персональных данных субъектов персональных данных.
Приложение №1 к Политике в отношении обработки и защиты персональных данных