1

УТВЕРЖДАЮ

ДИРЕКТОР

ООО"ХОРОШИЕКЛИЕНТЫ"

____________________

А.В.БОЧКОВ22.03.2017

М.П.

ПОЛИТИКАОБЩЕСТВАСОГРАНИЧЕННОЙОТВЕТСТВЕННОСТЬЮ«ХОРОШИЕКЛИЕНТЫ»

ВОТНОШЕНИИОБРАБОТКИПЕРСОНАЛЬНЫХДАННЫХИСВЕДЕНИЯОРЕАЛИЗУЕМЫХТРЕБОВАНИЯХКЗАЩИТЕПЕРСОНАЛЬНЫХДАННЫХ

2

1.Общиеположения1.1. Политика в отношении обработки персональных данных (далее — Политика)направленана защитуправи свободфизическихлиц, персональныеданныекоторыхобрабатываетООО"ХОРОШИЕКЛИЕНТЫ"(далее—Оператор).

1.2. Политика разработана в соответствии с п. 2 ч. 1 ст. 18.1 Федерального законаот27июля2006г.No152-ФЗ«Оперсональныхданных»(далее—ФЗ«Оперсональныхданных»), Постановлением Правительства РФ от 01.11.2012г. № 1119, другимизаконодательными и нормативными правовыми актами, определяющими порядокработысперсональнымиданнымиитребованиякобеспечениюихбезопасности.

1.3. Политика содержит сведения, подлежащие раскрытию в соответствиисч.1ст.14ФЗ«Оперсональныхданных»,иявляетсяобщедоступнымдокументом.

1.4.ВнастоящейПолитикеиспользуютсяследующиетерминыиопределения:

• Автоматизированная обработка персональных данных – обработкаперсональныхданныхспомощьюсредстввычислительнойтехники;

• Биометрические персональные данные – сведения, которые характеризуютфизиологическиеибиологическиеособенностичеловека,наоснованиикоторыхможно установить его личность и которые используются оператором дляустановленияличностисубъектаперсональныхданных;

• Блокирование персональных данных – временное прекращение обработкиперсональных данных (за исключением случаев, если обработка необходимадляуточненияперсональныхданных);

• Дата-центр – специализированная организация, предоставляющая услугипоразмещению серверного и сетевого оборудования, сдаче серверов (в томчислевиртуальных)варенду,атакжеподключениюксетиИнтернет;

• Доступкперсональнымданным–ознакомлениеопределенныхлиц(втомчислеработников) с персональными данными субъектов, обрабатываемымиОператором,приусловиисохраненияконфиденциальностиэтихсведений;

• Информационная система персональных данных – совокупность содержащихсявбазах данных персональных данных, и обеспечивающих их обработкуинформационныхтехнологийитехническихсредств;

• КлиентОператора–юридическоелицо,индивидуальныйпредпринимательилифизическоелицо,заключившеесОператоромдоговорохостингеитехническойподдержке информационной системы на базе программного обеспеченияGoodCustomersCRM;

• Конфиденциальность персональных данных – обязанность лиц, получившихдоступ кперсональным данным, не раскрывать третьим лицам инераспространять персональные данные без согласия субъекта персональныхданных,еслииноенепредусмотренофедеральнымзаконом;

• Недекларированные (недокументированные) возможности программногообеспечения- функциональные возможности программного обеспечения,неописанные или несоответствующие описанным в документации, прииспользовании которых возможно нарушение характеристик безопасностизащищаемойинформации;

3

• Обезличивание персональных данных – действия, в результате которыхневозможно определить без использования дополнительной информациипринадлежность персональных данных конкретному субъекту персональныхданных;

• Обработкаперсональныхданных–любоедействие(операция)илисовокупностьдействий (операций), совершаемых с использованием средств автоматизацииилибезиспользованиятакихсредствсперсональнымиданными,включаясбор,запись, систематизацию, накопление, хранение, уточнение (обновление,изменение), извлечение, использование, передачу (распространение,предоставление,доступ),обезличивание,блокирование,удаление,уничтожениеперсональныхданных;

• Оператор – юридическое или физическое лицо, самостоятельно или совместносдругими лицами организующие и (или) осуществляющие обработкуперсональных данных, а также определяющие цели обработки персональныхданных, состав персональных данных, подлежащих обработке, действия(операции),совершаемыесперсональнымиданными;

• Персональныеданные–любаяинформация,относящаясякпрямоиликосвенноопределённомуилиопределяемомуфизическомулицу (субъектуперсональныхданных);

• Предоставлениеперсональныхданных–действия,направленныенараскрытиеперсональныхданныхопределённомулицуилиопределённомукругулиц;

• Специальные категории персональных данных – персональные данные,касающиеся расовой, национальной принадлежности, политических взглядов,религиозных или философских убеждений, состояния здоровья, интимнойжизни;

• Субъект персональных данных – физическое лицо, к которому относятсяперсональныеданные;

• Трансграничная передача персональных данных – передача персональныхданных натерриторию иностранного государства органу власти иностранногогосударства,иностранномуфизическомуилииностранномуюридическомулицу;

• Уничтожение персональных данных – действия, в результате которыхневозможновосстановитьсодержаниеперсональныхданныхвинформационнойсистеме персональных данных и (или) результате которых уничтожаютсяматериальныеносителиперсональныхданных.

• CRM-система – совокупность программных средств, созданных Операторомнабазе программного обеспечения GoodCustomersCRM, и предназначеннаядляразмещения и обработки данных Клиентов Оператора на основаниидоговоров сними; серверная часть системы размещается в дата-центре,неявляющемсясобственностьюОператора.

1.5. Действие Политики распространяется на все персональные данные субъектов,обрабатываемыеОператоромсприменениемсредствавтоматизацииибезприменениятакихсредств.

1.6. Оператор публикует настоящую Политику на своем официальном сайте в сетиИнтернет по адресу http://goodcustomers.ru, а также предоставляет неограниченныйдоступкнейлюбомулицу,личнообратившемусякОператору.

4

2.Сведенияобоператоре2.1. Оператор ведет свою деятельность по адресу 630090, Новосибирская область,г.Новосибирск,проспектЛаврентьева,дом6/1,оф408.

2.2. Директор Бочков Артем Владимирович (телефон +7 (383) 213-5061) назначенответственнымзаорганизациюобработкиперсональныхданных.

2.3.Базаданныхинформации,содержащейперсональныеданныегражданРоссийскойФедерации,находитсяпоадресу:188684,Ленинградскаяобласть,Всеволожскийрайон,посёлокгородскоготипаДубровка,ул.Советская,д.1..

3.СтатусОператораикатегориисубъектов,чьиперсональныеданныеобрабатываютсяОператором3.1.Операторявляетсяоператоромперсональныхданныхвотношенииперсональныхданныхследующихфизическихлиц:

• работниковОператора,скоторымизаключенытрудовыедоговоры,атакжелиц,выполняющих работы в интересах Оператора в соответствии с заключеннымисними гражданско-правовыми договорами и хозяйственными договорами(далее–Работники);

• близкихродственниковработниковОператора,обработкаперсональныхданныхкоторых предусмотрена федеральными законами, а также выполняетсяОператором как работодателем в соответствии с требованиями органовгосударственногостатистическогоучета(далее–Родственникиработников);

• соискателейвакантныхдолжностейОператора,представившихличноиличерезспециализированные организации по подбору персонала (кадровые агентства)своирезюмеилианкеты(далее–Соискатели);

• клиентов Оператора, являющихся физическими лицами (в том числеиндивидуальныхпредпринимателей)(далее–Клиенты-физическиелица);

• сотрудниковподоговорамгражданско-правовогохарактера;

• представителей контрагентов Оператора, с которыми у Оператора существуютдоговорные отношения или с которыми Оператор намерен вступитьвдоговорныеотношения(далее–Представителиконтрагентов);

• клиентовконтрагентовОператора-участниковакций,проводимыхвинтересахкомпаний-клиентовОператора, чьиданныехранятсяиобрабатываютсявCRM-системе ивотношении которых договором между Оператором и клиентомфункции оператора выполняет ООО «Хорошие клиенты» (далее – Участникиакций).

5

3.2. Оператор является лицом, организующим обработку персональных данныхпопоручениюдругихоператоров,ккоторымотносятся(неисчерпывая):

• клиенты Оператора, разместившие в CRM-системе персональные данныесубъектов и самостоятельно осуществляющие их обработку как операторыперсональныхданныхнаоснованиидоговорамеждуОператоромиклиентом;

• органы власти и государственные внебюджетные фонды, в которыеперечисляются средства Работников или средства для зачисления на счетРаботников (налоговые инспекции Федеральной налоговой службы,территориальные отделения Пенсионного фонда России, Федерального фондаобязательного медицинского страхования, Фонда социального страхованияидр.);

• военныекомиссариатыииныекомпетентныегосударственныеорганы,которымперсональные данные предоставляются (передаются) в случаях,предусмотренных действующим законодательством Российской Федерации, ивобъеме,определенномэтимзаконодательством.

Указанным выше операторам персональные данные предоставляются (передаются)вобъеме,определенномфедеральнымизаконами,соответствующимиорганамивластии государственными внебюджетными фондами в пределах их полномочий.Специального согласия субъектов на такую передачу персональных данныхнетребуется.

Клиенты Оператора самостоятельно принимают решение о поручении Операторуобработки персональных данных, определяют состав передаваемых для обработкиданных, перечень действий (операций) с персональными данными, которые будутсовершатьсяОператором,ицелитакойобработки.

4.Сведенияобобработкеперсональныхданных4.1.Операторобрабатываетперсональныеданныеназаконнойисправедливойосноведля выполнения возложенных законодательством функций, полномочийиобязанностей, осуществления прав и законных интересов Оператора, работниковОператораитретьихлиц.

4.2. Оператор принимает все необходимые меры по выполнению требованийзаконодательства, необрабатывает персональные данные в случаях, когда этонедопускаетсязаконамиРоссийскойФедерации,неиспользуетперсональныеданныевовредсубъектам.

4.3. Оператор получает персональные данные непосредственно у субъектовперсональныхданных,атакжеуконтрагентовОператора.

4.4. Действия по обработке персональных данных включают сбор, запись,систематизацию, накопление, хранение, уточнение (обновление, изменение),извлечение, использование, передачу (распространение, предоставление, доступ),обезличивание,блокирование,удалениеиуничтожение.

6

4.5.Базыданныхинформации,содержащеи44 персональныеданныегражданРоссийскойФедерации,находятсянатерриторииРоссийскои33 Федерации.

4.6. Оператор производит обработку персональных данных исключительнодлядостижения конкретных, заранее определённых и законных целей. ЦелямиобработкиперсональныхданныхОператоромявляются:

• в отношении Работников – содействие в обучении и продвижении по службе,обеспечениеличнойбезопасностиработников,контрольколичестваикачествавыполняемой работы, обеспечение сохранности имущества, расчет и выплатазаработной платы, иных вознаграждений, расчет и перечисление налоговистраховыхвзносов.

• в отношении близких родственников Родственников работников –предоставление Работникам льгот игарантий, предусмотренных федеральнымзаконодательствам для лиц, имеющих (усыновивших) детей, лиц с семейнымиобязанностями, выполнение требованийнормативныхправовых актов органовгосударственногостатистическогоучета;

• в отношении Соискателей – принятие решения о возможности замещениявакантных должностей кандидатами, наиболее полно соответствующимитребованиямОператора;

• в отношении Клиентов-физических лиц – выполнение Оператором своихдоговорныхобязательств, ведениебухгалтерскогоучета,подготовканалоговойотчетности;

• в отношении сотрудников по договорам гражданско-правового характера –выполнение норм законодательства РФ, а также заключение и выполнениедоговоровгражданско-правовогохарактера.

• в отношении Представителей контрагентов – выполнение норм Гражданскогокодекса, регулирующих договорную работу, и исполнение договоровсконтрагентами;

• в отношении Участников акций – исполнение Оператором заключенныхсКлиентамидоговоровидостижениецелейобработки,внихпоставленных.

4.7. Оператор производит обработку только тех персональных данных, которыеотвечают заранее объявленным целям их обработки. Оператор следует принципусоответствия содержания и объёма обрабатываемых персональных данныхзаявленнымцелямобработки.Операторнедопускаетобработкуперсональныхданных,не совместимых с целями сбора персональных данных, а также избыточныхпоотношениюкзаявленнымцелямихобработки.Операторзаявляет,чтонесобираетине обрабатывает персональные данные, не требующиеся для достижения целей,указанныхвп.4.6настоящейПолитики,неиспользуетперсональныеданныесубъектоввкаких-либоцелях,отличныхотуказанныхвыше.

4.8. Оператор не допускает объединение баз данных, содержащих персональныеданные,обработкакоторыхосуществляетсявцелях,несовместимыхмеждусобой.

7

4.9. Оператор обеспечивает точность, достаточность и актуальность персональныхданныхпоотношениюкцелямобработкиперсональныхданных.Операторпринимаетвсе разумные меры по поддержке актуальности обрабатываемых персональныхданных,включая,нонеограничиваясь,реализациейправакаждогосубъектаполучатьдляознакомлениясвоиперсональныеданныеитребоватьотОператораихуточнения,блокирования или уничтожения в случае, если персональные данные являютсянеполными, устаревшими, неточными, незаконно полученными или не являютсянеобходимымидлязаявленныхвышецелейобработки.

4.10. Оператор хранит персональные данные в форме, позволяющей определитьсубъекта персональных данных, не дольше, чем этого требуют цели обработкиперсональных данных, если срок хранения персональных данных не установленфедеральным законом, договором, стороной которого или выгодоприобретателемпокоторомуявляетсясубъектперсональныхданных.

4.11. Оператор производит уничтожение либо обезличивание персональных данныхподостижении заявленных целей их обработки или в случае утраты необходимостивдостижении этих целей, при невозможности устранения Оператором допущенныхнарушенийустановленногозакономпорядкаобработкиперсональныхданных,отзывесогласиянаобработку субъектомперсональныхданных, еслииноене предусмотренофедеральнымизаконамиилидоговорамиссубъектами.

4.12.Обработкаперсональныхданныхработников:

4.12.1.ОператоробрабатываетперсональныеданныеработниковОператораврамкахправоотношений, урегулированных Трудовым Кодексом Российской Федерацииот30декабря 2001 г. No 197-ФЗ (далее — ТК РФ), в том числе главой 14 ТК РФ,касающейсязащитыперсональныхданныхработников.

4.12.2. Оператор не принимает решения, затрагивающие интересы работников,основываясь на их персональных данных, полученных электронным образом илиисключительноврезультатеавтоматизированнойобработки.

4.12.3. Оператор защищает персональные данные работников за счет собственныхсредств в порядке, установленном ТК РФ, ФЗ «О персональных данных» и инымифедеральнымизаконами.

4.12.4.Операторзнакомитработниковиихпредставителейподросписьсдокументами,устанавливающими порядок обработки персональных данных работников, а такжеобихправахиобязанностяхвэтойобласти.

4.12.5. Оператор получает все персональные данные работников у них самих. Еслиданные работника возможно получить только у третьей стороны, Оператор заранееуведомляетобэтомработникаиполучаетегописьменноесогласие.Операторсообщаетработникуоцелях,источниках, способахполучения, атакжеохарактереподлежащихполучениюданныхипоследствияхотказаработникадатьписьменное согласиенаихполучение.

8

4.12.6. Оператор обрабатывает персональные данные работников в течение срокадействия трудового договора. Оператор обрабатывает персональные данныеуволенных работников в течение срока, установленного п. 5 ч. 3 ст. 24 части первойНалогового Кодекса РоссийскойФедерации от 31 июля 1998 г.No146-ФЗ, ч. 1 ст. 29Федеральногозакона«Обухгалтерскомучёте»от6декабря2011г.No402-ФЗииныминормативнымиправовымиактами.

4.12.7. Оператор может обрабатывать специальные категории персональных данныхработников (сведений о состоянии здоровья, относящихся к вопросу о возможностивыполненияимитрудовыхфункций)наоснованиип.2.3ч.2ст.10ФЗ«Оперсональныхданных».

4.12.8. Оператор не получает данные о членстве работников в общественныхобъединениях или их профсоюзной деятельности, за исключением случаев,предусмотренныхТКРФилиинымифедеральнымизаконами.

4.12.9.Операторобрабатываетследующиеперсональныеданныеработников:

• Фамилия,имя,отчество;

• Тип,серияиномердокумента,удостоверяющеголичность;• Датавыдачидокумента,удостоверяющеголичность,иинформацияовыдавшем

егооргане;• Должность;

• Годрождения;

• Месяцрождения;• Датарождения;

• Месторождения;• Адрес;

• Номерконтактноготелефона;

• Адресэлектроннойпочты;• Семейноеположение;

• Образование;

• Профессия;• Доходы;

• Трудовойстаж;• Сведенияовоинскомучёте;

• Данныеосоциальныхльготах;

• Идентификационныйномерналогоплательщика;• Номерстраховогосвидетельствагосударственногопенсионногострахования;

• Фотография.

9

4.12.10. Оператор не сообщает третьей стороне персональные данные работника безегописьменного согласия, кроме случаев, когда этонеобходимодляпредупрежденияугрозы жизни и здоровью работника, а также в других случаях, предусмотренныхТКРФ,ФЗ«Оперсональныхданных»илиинымифедеральнымизаконами.

4.12.11.Операторнесообщаетперсональныеданныеработникавкоммерческихцеляхбезегописьменногосогласия.

4.12.12. Оператор передаёт персональные данные работников их представителямвпорядке, установленном ТК РФ, ФЗ «О персональных данных» и инымифедеральными законами, и ограничивает эту информацию только теми данными,которыенеобходимыдлявыполненияпредставителямиихфункций.

4.12.13. Оператор предупреждает лиц, получающих персональные данные работника,чтоэтиданныемогутбытьиспользованытольковцелях,длякоторыхонисообщены,требуетотэтихлицподтверждения,чтоэтоправилособлюдено.

4.12.14. В порядке, установленном законодательством, и в соответствиисост.7ФЗ«Оперсональных данных» для достижения целей обработки персональныхданных и ссогласия работников Оператор предоставляет персональные данныеработниковилипоручаетихобработкуследующимлицам:

• Государственныеорганы(ПФР,ФНС,ФССидр.);—Банк(врамкахзарплатногопроекта);

• Компании пассажирских грузоперевозок и гостиницы (в рамках организациикомандировок);

• ООО«АктивФинанс"(дляцелейбухгалтерскогообслуживания).

4.12.15.Работникможетполучитьсвободныйбесплатныйдоступкинформацииоегоперсональных данных и об обработке этих данных. Работникможет получить копиюлюбой записи, содержащей его персональные данные, за исключением случаев,предусмотренныхфедеральнымзаконом.

4.12.16. Работникможетполучитьдоступкмедицинскойдокументации, отражающейсостояниеегоздоровья,спомощьюмедицинскогоработникапоеговыбору.

4.12.17.Работникможеттребоватьизвеститьвсехлиц,которымранеебылисообщеныего неверные или неполные персональные данные, обо всех произведенных в нихисключениях,исправленияхилидополнениях.

4.13.Обработкаперсональныхданныхклиентовконтрагента:

4.13.1. Оператор обрабатывает персональные данные клиентов контрагента в рамкахправоотношений с Оператором, урегулированных частью второй ГражданскогоКодексаРоссийскойФедерацииот26января1996г.No14-ФЗ.

4.13.2.Операторобрабатываетперсональныеданныеклиентовконтрагентанедольше,чемтоготребуютцелиобработкиперсональныхданных,еслииноенепредусмотренотребованиямизаконодательстваРФ.

10

4.13.3. Оператор обрабатывает следующие персональные данные клиентовконтрагента:

• Фамилия,имя,отчество;• Годрождения;• Месяцрождения;• Датарождения;• Адрес;• Номерконтактноготелефона;• Адресэлектроннойпочты;• Семейноеположение;• Профессия;• Должность;• Сведенияоприобретённыхтоварах;• Сведенияобоказанныхуслугах;• Ответынамаркетинговыеопросы;• НомерICQ;• Skype;• Адресвсоц.сетяхVK,Facebook.

4.14. Обработка персональных данных сотрудников по договорам гражданско-правовогохарактера:

4.14.1. Оператор обрабатывает персональные данные сотрудников по договорамгражданско-правового характера в рамках правоотношений с Оператором,урегулированных частью второй Гражданского Кодекса Российской Федерацииот26января1996г.No14-ФЗ.

4.14.2. Оператор обрабатывает персональные данные сотрудников по договорамгражданско-правового характера в течение сроков действия заключенных с нимидоговоров. Оператор может обрабатывать персональные данные сотрудниковподоговорам гражданско-правового характера после окончания сроков действиязаключенныхснимидоговороввтечениесрока, установленногоп.5ч.3 ст.24частипервой НК РФ, ч. 1 ст. 29 ФЗ «О бухгалтерском учёте» и иными нормативнымиправовымиактами.

4.14.3. Оператор обрабатывает следующие персональные данные сотрудниковподоговорамгражданско-правовогохарактера:

• Фамилия,имя,отчество;• Тип,серияиномердокумента,удостоверяющеголичность;• Датавыдачидокумента,удостоверяющеголичность,иинформацияовыдавшем

егооргане;• Адрес;• Доходы;• Должность.

11

4.14.4. Для достижения целей обработки персональных данных и с согласиясотрудников по договорам гражданско-правового характера Оператор предоставляетперсональныеданныеилипоручаетихобработкуследующимлицам:

• ООО«АктивФинанс"(дляцелейбухгалтерскогообслуживания).

4.15.Обработкаперсональныхданныхклиентов-физлиц:

4.15.1. Оператор обрабатывает персональные данные клиентов в рамкахправоотношений с Оператором, урегулированных частью второй ГражданскогоКодексаРоссийскойФедерацииот26января1996г.No14-ФЗ,(далее—клиентов).

4.15.2. Оператор обрабатывает персональные данные клиентов-физлиц в течениесроков действия заключенных с ними договоров. Оператор может обрабатыватьперсональные данные клиентов-физлиц после окончания сроков действиязаключенныхснимидоговороввтечениесрока, установленногоп.5ч.3 ст.24частипервой НК РФ, ч. 1 ст. 29 ФЗ «О бухгалтерском учёте» и иными нормативнымиправовымиактами.

4.15.3.Операторобрабатываетследующиеперсональныеданныеклиентов-физлиц:

• Фамилия,имя,отчество;• Тип,серияиномердокумента,удостоверяющеголичность;• Датавыдачидокумента,удостоверяющеголичность,иинформацияовыдавшем

егооргане;• Годрождения;• Месяцрождения;• Датарождения;• Месторождения;• Адрес;• Номерконтактноготелефона;• Адресэлектроннойпочты;• Идентификационныйномерналогоплательщика.

4.15.4.Длядостиженияцелейобработкиперсональныхданныхиссогласияклиентов-физлиц Оператор предоставляет персональные данные или поручает их обработкуследующимлицам:

• ООО«АктивФинанс»(дляцелейюридическогообслуживания).

4.15.5. В целях выполнения договорных обязательств или требований федеральногозаконодательства Оператор получает персональные данные от следующих третьихсторон:

• дляисполнениядоговорныхобязательствпередЗаказчикамиОбщества.

12

4.16.Обработкаперсональныхданныхработниковконтрагента:

4.16.1.Операторобрабатываетперсональныеданныеработниковконтрагентаврамкахправоотношений с Оператором, урегулированных частью второй ГражданскогоКодексаРоссийскойФедерацииот26января1996г.No14-ФЗ.

4.16.2. Оператор обрабатывает персональные данные работников контрагентавтечение сроков действия заключенных с ними договоров. Оператор можетобрабатыватьперсональныеданныеработниковконтрагентапослеокончаниясроковдействия заключенных с ними договоров в течение срока, установленногоп.5ч.3ст.24части первой НК РФ, ч. 1 ст. 29 ФЗ «О бухгалтерском учёте» и иныминормативнымиправовымиактами.

4.16.3. Оператор обрабатывает следующие персональные данные работниковконтрагента:

• Фамилия,имя,отчество;• Номерконтактноготелефона;• Адресэлектроннойпочты;• Должность.

5.Способыобработкиперсональныхданных5.1.Операторосуществляетобработкуперсональныхданныхсиспользованиемсредствавтоматизации, а также без использования таких средств, с использованием средстввычислительнои,, техникиибезиспользованиятакихсредств.

5.2. Настоящая Политика распространяется в полном объеме на обработкуперсональных данных с использованием средств автоматизации, а на обработку безиспользованиясредствавтоматизации–вслучаях,еслитакаяобработкасоответствуетхарактеру действий (операций), совершаемых с персональными даннымисиспользованием средств автоматизации, то есть позволяет осуществлятьвсоответствиисзаданнымалгоритмомпоискперсональныхданных,зафиксированныхна материальном носителе, и содержащихся в картотеках или иныхсистематизированных собраниях персональных данных, и (или) доступ к такимперсональнымданным.

6.Условияобработкиперсональныхданных6.1.ОбработкаперсональныхданныхОператоромдопускаетсявследующихслучаях:

6.1.1. При наличии согласия субъекта персональных данных на обработку егоперсональныхданных.

6.1.2. Для осуществления и выполнения возложенных законодательством РоссийскойФедерациинаОператорафункций,полномочийиобязанностей.Ктакимслучаям,втомчисле относится, не исчерпывая их, обработка специальных категорий персональных

13

данных Работников для достижения целей, предусмотренных трудовымзаконодательствомРоссийскойФедерации.

6.1.3. Для исполнения договора, стороной которого или выгодоприобретателемявляется субъект персональных данных, а также для заключения договора поинициативе субъекта персональных данных или договора, по которому субъектперсональных данных будет являться выгодоприобретателем. Такими договорамиявляются:

• трудовые, гражданско-правовые, хозяйственные договоры с РаботникамиОператора;

• гражданско-правовыедоговорысКлиентами-физическимилицами;• публичные оферты (в том числе оферты в устной форме), акцептованные

Участникамиакций.

Преддоговорной работой является работа по подбору персонала, в которой согласиесубъекта на обработку подтверждается собственноручно заполненной анкетойсоискателя должности или анкетой (резюме), переданной им Оператору иливспециализированную организацию по подбору персонала, или размещеннойсубъектомнаспециализированныхсайтахвсетиИнтернетилиприсланнойсубъектомОператору по электронной почте, а также работа по заключению договоровсКлиентами-физическимилицами.

6.1.4. Обработка персональных данных необходима для осуществления правизаконныхинтересовОператораилитретьихлицлибодлядостиженияобщественнозначимыхцелейприусловии,чтоприэтомненарушаютсяправаисвободысубъектаперсональныхданных.

6.1.5. Обработка персональных данных осуществляется в статистических или иныхисследовательских целях при условии обязательного обезличивания персональныхданных.

6.1.6. Доступ неограниченного круга лиц к персональным данным предоставленсубъектомперсональныхданныхлибопоегопросьбе.

6.1.7.Персональныеданныеподлежатопубликованиюилиобязательномураскрытиювсоответствиисфедеральнымизаконами.

6.2.Операторнераскрываеттретьимлицаминераспространяетперсональныеданныебез согласия субъекта персональных данных, если иное не предусмотренофедеральнымизаконами.

6.3. Оператор не обрабатывает персональные данные, относящиеся к специальнымкатегориям и касающиеся расовой и национальной принадлежности, политическихвзглядов, религиозных или философских убеждений, состояния здоровья(заисключением сведений, относящихся к вопросу о возможности выполненияработником трудовой функции), интимной жизни субъектов, о членстве Работниковвобщественных объединениях, за исключением случаев, прямо предусмотренныхзаконодательствомилидоговоромсКлиентомОператора.

14

6.4. Оператор не обрабатывает персональные данные о судимости. Операторнеобрабатываетбиометрическиеперсональныеданные.

6.5.Операторнеосуществляеттрансграничнуюпередачуперсональныхданных.

6.6. Оператор не принимает решений, порождающих юридические последствиявотношениисубъектаперсональныхданныхилиинымобразомзатрагивающихправаи законные интересы субъектов, на основании исключительно автоматизированнойобработки персональных данных. Данные, имеющие юридические последствия илизатрагивающие права и законные интересы субъекта, подлежат передихиспользованиемпроверкесостороныуполномоченныхработниковОператора.

7.Конфиденциальностьперсональныхданных7.1. Оператор обеспечивает конфиденциальность обрабатываемых им персональныхданныхпорядком,предусмотреннымфедеральнымизаконами.

Обеспечениеконфиденциальностинетребуетсявотношении:

• персональныхданныхпослеихобезличивания;

• персональных данных, доступ неограниченного круга лиц к которымпредоставлен субъектом персональных данных либо по его просьбе (далее –персональные данные, сделанные общедоступными субъектом персональныхданных);

• персональных данных, подлежащих опубликованию или обязательномураскрытиювсоответствиисфедеральнымизаконами.

8.Согласиесубъектаперсональныхданныхнаобработкусвоихперсональныхданных8.1. Субъект персональных данных принимает решение о предоставлении егоперсональных данных Оператору и дает согласие на их обработку свободно, своейволейив своеминтересе. Согласиенаобработкуперсональныхданныхдолжнобытьконкретным,информированнымисознательнымиможетпредоставлятьсясубъектомв любой позволяющей подтвердить факт его получения форме, если иноенеустановленофедеральнымизаконами.

8.2.Вслучаеполучениясогласиянаобработкуперсональныхданныхотпредставителясубъектаперсональныхданныхполномочияданногопредставителяна дачу согласияотименисубъектаперсональныхданныхпроверяютсяОператором.

8.3. Специального выраженного согласия Работника на обработку его персональныхданныхне требуется, т.к. обработканеобходимадляисполнения трудовогодоговора,стороной которого является Работник – субъект персональных данных,заисключением случаев, когда необходимо получение согласия Работникавписьменнойформедляконкретныхслучаевобработкиперсональныхданных.

15

8.4. Специального выраженного согласия Родственников работников Операторанетребуется, если обработка их персональных данных осуществляется на основаниифедеральных законов, а также выполняется Оператором как работодателемвсоответствии с требованиями органов государственного статистического учета.Вовсех остальных случаях необходимо получение доказываемого (подтверждаемого)согласия Родственников работников на обработку их персональных данныхОператором.

8.5. Специального выраженного согласия Соискателя на обработку его персональныхданных не требуется, т.к. обработка необходима в целях заключения трудовогодоговорапоинициативеСоискателя–субъектаперсональныхданных,заисключениемслучаев, когда необходимо получение согласия Соискателя в письменной формедляконкретныхслучаевобработкиперсональныхданных.Вслучаепринятиярешенияоб отказе Соискателю в приеме на работу его персональные данные должны бытьуничтоженывтечение30днейсдатыпринятиятакогорешения.

8.6. Специального выраженного согласия Клиента-физического лица на обработкуегоперсональных данных не требуется, т.к. он является стороной договора,заключенного сОператором по инициативе субъекта. При запросе персональныхданных, обработка которых не установлена требованиями законодательства илинетребуется для исполнения договора, стороной которого является субъектперсональныхданных,необходимополучениесогласиясубъектатольконаобработкудополнительноистребованныхОператоромперсональныхданных.

8.7. Персональные данные лиц, подписавших договор с Оператором, содержащиесявединых государственных реестрах юридических лиц и индивидуальныхпредпринимателей, являются открытыми и общедоступными, за исключениемсведений о номере, дате выдачи и органе, выдавшем документ, удостоверяющийличностьфизическоголица.Охраныихконфиденциальностиисогласиясубъектовнаобработку не требуется. Во всех остальных случаях необходимо получение согласиясубъектов персональных данных, являющихся Представителями контрагентовОператора, за исключением лиц, подписавших договоры с Оператором, а такжепредоставивших доверенности на право действовать от имени и по поручениюсубъектов персональных данных или контрагентов Оператора и тем самымсовершивших конклюдентные действия, подтверждающие их согласие с обработкойперсональных данных, указанных в тексте договора и/или доверенности. Согласиенапередачу Оператору персональных данных своих представителей (работников)можетбытьполученоконтрагентомОператора.В этом случаеполучениеОператоромихсогласиянаобработкуперсональныхданныхнетребуется.

В случае, если Оператор обрабатывает персональные данные по поручению клиента,онне обязан получать согласие субъекта персональных данных на обработкуегоперсональныхданных.

8.8. Участники акций дают согласие на обработку своих персональных данных,акцептуя оферту (в том числе предлагаемую в устной форме) о предоставлениииминформационныхуслугивозможностиучастияв акциях,проводимыхвинтересахклиентов Оператора. Акцептом оферты является предоставление Участниками акций

16

персональныхданных, запрашиваемыхОператором, в специальноразработанныхдляэтогоанкетахУчастниковакцийиливвеб-формахнаинтернет-сайтахОператораи/илиегоклиентов,атакжепартнеровОператораиклиентов,проводящихакциивинтересахклиентовОператора.

Оператор вправе запрашивать и обрабатывать сведения об основном документе,удостоверяющим личность, в целях подтверждения возраста Участника,егодееспособности,атакжеоформленияиорганизациидоставкипризов.

8.9. Согласие субъектов на предоставление их персональных данных не требуетсяприполучении Оператором, в рамках установленных полномочий, мотивированныхзапросовоторгановпрокуратуры,правоохранительныхорганов,органовбезопасности,от государственных инспекторов труда при осуществлении ими государственногонадзора и контроля за соблюдением трудового законодательства и иных органов,уполномоченных запрашивать информацию о работниках в соответствиискомпетенцией,предусмотреннойфедеральнымизаконами.

Мотивированный запрос должен включать в себя указание цели запроса, ссылкунаправовые основания запроса, в том числе подтверждающие полномочия органа,направившегозапрос,атакжепереченьзапрашиваемойинформации.

8.10. В случае поступления запросов из организаций, не обладающихсоответствующими полномочиями, Оператор обязан получить согласие субъектанапредоставление его персональных данных и предупредить лиц, получающихперсональныеданные,отом,чтоэтиданныемогутбытьиспользованылишьвцелях,длякоторыхонисообщены,атакжетребоватьотэтихлицподтверждениятого,чтоэтоправилобудет(было)соблюдено.

8.11.Согласиенаобработкуперсональныхданных,обработкакоторыхнеустановленатребованиями законодательства или не требуется для исполнения договорасОператором,сторонойкоторогоявляетсясубъектперсональныхданных,можетбытьотозваносубъектомперсональныхданных.

8.12. Во всех случаях обязанность предоставить доказательство получения согласиясубъекта персональных данных на обработку его персональных данных илидоказательствоналичияоснований,указанныхвФедеральномзаконе«Оперсональныхданных»,возлагаетсянаОператора.

9.Сведенияореализуемыхтребованияхкзащитеперсональныхданных9.1. Защита персональных данных, обрабатываемых Оператором, обеспечиваетсяреализацией правовых, организационных и технических мер, необходимыхидостаточных для обеспечения требований законодательства в области защитыперсональныхданных.

17

9.2.Правовыемерывключаютвсебя:

• разработку локальных актов Оператора, реализующих требования российскогозаконодательства, в том числе – настоящей Политики в отношении обработкиперсональныхданных,иразмещениееенаинтернет-сайтеОператора;

• отказотлюбыхспособовобработкиперсональныхданных,несоответствующихцелям,заранеепредопределеннымОператором.

9.3.Организационныемерывключаютвсебя:

• назначение лица, ответственного за организацию обработки персональныхданных;

• назначение лица, ответственного за обеспечение безопасности персональныхданныхвинформационныхсистемах;

• ограничение состава работников Оператора, имеющих доступ к персональнымданным,иорганизациюразрешительнойсистемыдоступакним;

• обеспечение неограниченного доступа к Политике, копия которои-- размещенапоадресунахожденияОператора,атакжеразмещенанасайтеОператора;

• во исполнение Политики утверждение и приведение в действие документа«Положениеобобработкеперсональныхданных»(далее—Положение)ииныхлокальныхактов;

• ознакомление работников Оператора с положениями законодательстваРоссийской Федерации о персональных данных, в том числе с требованиямикзащите персональных данных, с локальными актами Оператора по вопросамобработкиперсональныхданных,обучениеуказанныхработников;

• определениевтрудовыхобязанностяхидолжностныхинструкцияхработниковОператораобязанностейпообеспечениюбезопасностиобработкиперсональныхданныхиответственностизанарушениеустановленногопорядка;

• регламентациюпроцессовобработкиперсональныхданных;• допуск работников к персональным данным, обрабатываемым

винформационной системе Оператора, а также к их материальным носителямтолькодлявыполнениятрудовыхобязанностей;

• организацию учёта материальных носителей персональных данныхииххранения, обеспечивающих предотвращение хищения, подмены,несанкционированногокопированияиуничтожения;

• определение угроз безопасности персональных данных при их обработкевинформационныхсистемах,формированиенаихосновемоделейугроз;

• оценкувреда, которыйможетбытьпричинен субъектамперсональныхданныхвслучаенарушенияФЗ«Оперсональныхданных»;

• размещение технических средств обработки персональных данных в пределахохраняемойтерритории;

• ограничение допуска посторонних лиц в помещения Оператора, недопущениеихнахождения в помещениях, где ведется работа с персональными данными

18

иразмещаются технические средства их обработки, без контроля со стороныработниковОператора.

9.4.Техническиемерывключаютвсебя:

• определение типа угроз безопасности персональных данных, актуальныхдляИСПДнсучетомоценкивозможноговредасубъектамперсональныхданных,который может быть причинен в случае нарушения требований безопасности,определение уровня защищенности персональных данных и реализациютребований к защите персональных данных при их обработкевинформационныхсистемах,исполнениекоторыхобеспечиваетустановленныеуровнизащищенностиперсональныхданных;

• разработку на основе модели угроз системы защиты персональных данныхдляустановленных Правительством Российской Федерации уровнейзащищенности персональных данных при их обработке в информационныхсистемах;

• использование для нейтрализации актуальных угроз средств защитыинформации,прошедшихпроцедуруоценкисоответствия;

• оценку эффективности принимаемых мер по обеспечению безопасностиперсональныхданных;

• реализацию разрешительной системы доступа работников к персональнымданным, обрабатываемым в информационных системах, и программно-аппаратнымипрограммнымсредствамзащитыинформации;

• регистрацию и учёт действий c персональными данными пользователейинформационныхсистем,гдеобрабатываютсяперсональныеданные;

• выявление вредоносного программного обеспечения (применениеантивирусных программ) на всех узлах информационной сети Оператора,обеспечивающихсоответствующуютехническуювозможность;

• безопасное межсетевое взаимодействие (применение межсетевогоэкранирования);

• обнаружение вторжений в информационную систему Оператора, нарушающихили создающих предпосылки к нарушению установленных требованийпообеспечениюбезопасностиперсональныхданных;

• восстановление персональных данных, модифицированных или уничтоженныхвследствие несанкционированного доступа к ним (систему резервногокопированияивосстановленияперсональныхданных);

• периодическое проведение мониторинга действий пользователей,разбирательств по фактам нарушения требований безопасности персональныхданных;

• контроль соответствия обработки персональных данных ФЗ «О персональныхданных», принятым в соответствии с ним нормативным правовым актам,требованиям к защите персональных данных, Политике, Положению и инымлокальным актам, включающий контроль за принимаемыми мерамипообеспечениюбезопасностиперсональныхданныхиихуровнязащищенности

19

при обработке в информационной системе Оператора (самостоятельно илиспривлечением на договорной основе юридических лиц и индивидуальныхпредпринимателей, имеющих лицензию на осуществление деятельностипотехническойзащитеконфиденциальнойинформации)нереже1разав3года.

10.Правасубъектовперсональныхданных10.1.Субъектперсональныхданныхимеетправо:

• на получение персональных данных, относящихся к данному субъекту,иинформации,касающейсяобработкиегоперсональныхданных;

• требоватьотОператорауточненияегоперсональныхданных,ихблокированияили уничтожения в случае, если персональные данные являются неполными,устаревшими, неточными, незаконно полученными или не являютсянеобходимыми для заявленной цели обработки, а также приниматьпредусмотренныезакономмерыпозащитесвоихправ;

• наотзывданногоимсогласиянаобработкуперсональныхданных.

10.2. Если субъект персональных данных считает, что Оператор осуществляетобработкуегоперсональныхданныхснарушениемтребованийфедеральныхзаконовили иным образом нарушает его права и свободы, субъект персональных данныхвправеобжаловатьдействияилибездействиеОператоравуполномоченныйорганпозащитеправсубъектовперсональныхданныхиливсудебномпорядке.

10.3. Субъект персональных данных имеет право на защиту своих прав и законныхинтересов,втомчисленавозмещениеубыткови(или)компенсациюморальноговредавсудебномпорядке.

10.4.Дляреализациисвоихправизаконныхинтересовсубъектыперсональныхданныхимеют право обратиться к Оператору либо направить запрос лично или с помощьюпредставителя. Запрос должен содержать сведения, указанныевч.3ст.14ФЗ«Оперсональныхданных».

11.Заключительныеположения11.1.ИныеобязанностииправаОператоракакоператораперсональныхданныхилица,организующего их обработку по поручению других операторов, определяютсязаконодательствомРоссийскойФедерациивобластиперсональныхданных.

11.2. Должностные лица и работники Оператора, виновные в нарушении норм,регулирующих обработку и защиту персональных данных, несут материальную,дисциплинарную, административную, гражданско-правовую или уголовнуюответственностьвсоответствиисзаконодательствомРоссийскойФедерации.

11.3. Положения настоящей Политики пересматриваются по мере необходимости.Обязательный пересмотр Политики проводится в случае существенных изменениймеждународногоилинациональногозаконодательствавсфереперсональныхданных.

20

ПривнесенииизмененийвположенияПолитикиучитываются:

• изменения в информационной инфраструктуре и (или) в используемыхОператороминформационныхтехнологиях;

• сложившаяся в Российской Федерации практика правоприменениязаконодательствавобластиперсональныхданных;

• изменение условий и особенностей обработки персональных данныхОператором в связи с внедрением в его деятельность новых информационныхсистем,процессовитехнологий.