Политика в отношении обработки персональных данных

  1. Общие положения
    1.1. Политика в отношении обработки персональных данных ООО «Стилкам» (далее – Политика) подготовлена в соответствии с требованиями Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – 152-ФЗ, Закон).
    1.2. Политика определяет позицию ООО «Стилкам» (далее – Оператор,
    Компания) в области обработки и защиты персональных данных (далее – ПДн).
    1.3. Политика является внутренним нормативным документом Компании и
    подлежит обязательному опубликованию в сети Интернет на официальном сайте Компании по адресу https://steelcam.org.
    1.4. Политика распространяется на ПДн, полученные как до, так и после ввода в
    действие Политики.
    1.5. В Политике используются следующие термины:
    Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
    Безопасность персональных данных – состояние защищенности персональных
    данных, характеризуемое способностью пользователей, технических средств и
    информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах.
    Информационная система персональных данных (ИСПДн) – совокупность
    содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
    Конфиденциальность персональных данных – обязательное для соблюдения
    Компанией или иным получившим доступ к персональным данным лицом требование не допускать их раскрытия без согласия субъекта персональных данных или наличия иного законного основания.
    Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
    Оператор – государственный орган, муниципальный орган, юридическое или
    физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данным.
    Персональные данные – любая информация, относящаяся к прямо или косвенно
    определенному или определяемому физическому лицу (субъекту персональных данных).
    Работники – работники ООО «Стилкам».
    Трансграничная передача персональных данных – передача персональных
    данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
    Уничтожение персональных данных – действия, в результате которых становится
    невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
    Федеральная служба по надзору в сфере связи, информационных технологий и
    массовых коммуникаций (Роскомнадзор)     – уполномоченный орган по защите прав субъектов персональных данных.
    Cookie – небольшой фрагмент данных, отправленный веб-сервером Компании
    и хранимый на компьютере пользователя сайта(ов) Компании, применяющийся для сохранения данных на стороне пользователя сайта(ов) Оператора и использующийся для аутентификации пользователя, хранения персональных предпочтений и настроек пользователя, отслеживания состояния сеанса доступа пользователя, ведения статистики о пользователях.
  2. Категории субъектов персональных данных и цели обработки персональных данных.
    2.1. Компания должна осуществлять обработку ПДн указанных ниже субъектов
    ПДн в следующих целях:
    2.1.1. Кандидаты на трудоустройство (соискатели):
    — рассмотрение возможности заключения трудового договора;
    — формирование и ведение кадрового резерва.
    2.1.2. Работники:
    — осуществление функций, полномочий и обязанностей, возложенных на Компанию действующим законодательством Российской Федерации;
    — обеспечение Компанией (Оператором) необходимых условий, для надлежащего исполнения Работниками трудовых обязанностей:
    * оформление зарплатной карты;
    * заказ такси Работнику;
    * выдача Работнику корпоративной SIM-карты;
    * внешнее архивное хранение документов на бумажных носителях1;
    * направление Работника в командировку;
    * осуществление контрольно-пропускного режима;
    * печать для Работника корпоративных визитных карточек;
    * организация информационного взаимодействия в сети Интернет
    * организация обучения;
    * организация предварительного и периодического медицинских осмотров;
    * формирование и ведение кадрового резерва;
    * оказание материальной помощи;
    * предоставление добровольного медицинского страхования;
    — поддержка работоспособности информационных систем и ресурсов Компании;
    — подготовка и подача заявок на участие во всех способах закупок, включая, конкурсы, аукционы, запросы котировок, запросы предложений, проводимых государственными и муниципальными предприятиями, учреждениями, а также коммерческими организациями.
    2.1.3. Студенты-практиканты:
    — осуществление функций, полномочий и обязанностей, возложенных на Компанию действующим законодательством Российской Федерации;
    — формирование и ведение кадрового резерва;
    — осуществление контрольно-пропускного режима.
    2.1.4. Уволенные работники:
    — осуществление функций, полномочий и обязанностей, возложенных на Компанию действующим законодательством Российской Федерации;
    — внешнее архивное хранение документов на бумажных носителях.
    2.1.5. Родственники работников:
    — осуществление функций, полномочий и обязанностей, возложенных на Компанию действующим законодательством Российской Федерации;
    — внешнее архивное хранение документов на бумажных носителях.
    2.1.6. Посетители:
    — осуществление контрольно-пропускного режима;
    — поддержка работоспособности информационных систем и ресурсов Компании.
    2.1.7. Посетители сайта(ов) Компании:
    — поддержка работоспособности информационных систем и ресурсов Компании;
    — проведение аналитических исследований относительно использования сайта(ов) / приложений Компании, обеспечение удобства использования сайта(ов) / приложений Компании и предоставление пользователям сведений маркетингового характера.
    2.1.8. Пользователи приложений:
    — поддержка работоспособности информационных систем и ресурсов Компании;
    — проведение аналитических исследований относительно использования сайта(ов) / приложений Компании, обеспечение удобства использования сайта(ов) / приложений Компании и предоставление пользователям сведений маркетингового характера.
    2.1.9. Заявители (потенциальные клиенты):
    — осуществление функций, полномочий и обязанностей, возложенных на Компанию действующим законодательством Российской Федерации;
    — рассмотрение возможности заключения договоров страхования;
    — поддержка работоспособности информационных систем и ресурсов Компании;
    — улучшение клиентского опыта, качества обслуживания, предоставление дополнительных возможностей и услуг, а также персонифицированных предложений Оператора и третьих лиц, в том числе путем осуществления прямых контактов с помощью средств связи;
    — построение моделей, профилирование, таргетирование, статистические, аналитические и иные исследования взаимодействия с Оператором и третьими лицами, скоринг, обогащение и сегментация для формирования и адаптации возможных услуг и предложений Оператора и третьих лиц.
    2.1.10. Клиенты:
    — осуществление функций, полномочий и обязанностей, возложенных на Компанию действующим законодательством Российской Федерации;
    — исполнение обязательств по договорам;
    — внешнее архивное хранение документов на бумажных носителях;
    — поддержка работоспособности информационных систем и ресурсов Компании;
    — улучшение клиентского опыта, качества обслуживания, предоставление дополнительных возможностей и услуг, а также персонифицированных предложений Оператора и третьих лиц, в том числе путем осуществления прямых контактов с помощью средств связи;
    — построение моделей, профилирование, таргетирование, статистические, аналитические и иные исследования взаимодействия с Оператором и третьими лицами, скоринг, обогащение и сегментация для формирования и адаптации возможных услуг и предложений Оператора и третьих лиц;
    2.1.11. Клиенты, с которыми окончены договорные отношения:
    — осуществление функций, полномочий и обязанностей, возложенных на Компанию действующим законодательством Российской Федерации;
    — внешнее архивное хранение документов на бумажных носителях;
    — поддержка работоспособности информационных систем и ресурсов Компании;
    — улучшение клиентского опыта, качества обслуживания, предоставление дополнительных возможностей и услуг, а также персонифицированных предложений Оператора и третьих лиц, в том числе путем осуществления прямых контактов с помощью средств связи;
    — построение моделей, профилирование, таргетирование, статистические, аналитические и иные исследования взаимодействия с Оператором и третьими лицами скоринг, обогащение и сегментация для формирования и адаптации возможных услуг и предложений Оператора и третьих лиц.
    2.1.12. Лица, оказывающие услуги (выполняющие работы) по договору ГПХ, индивидуальные предприниматели, работники юридических лиц):
    — осуществление функций, полномочий и обязанностей, возложенных на Компанию действующим законодательством Российской Федерации;
    — рассмотрение возможности заключения договора с контрагентом;
    — исполнение обязательств по заключенным договорам с контрагентом;
    — осуществление контрольно-пропускного режима;
    — внешнее архивное хранение документов на бумажных носителях;
    — поддержка работоспособности информационных систем и ресурсов Компании.
  3. Порядок обработки персональных данных
    3.1. Правовые основания обработки персональных данных
    3.1.1. Компания должна осуществлять обработку ПДн при наличии следующих правовых оснований:
    3.1.2. Согласие субъекта ПДн на обработку ПДн.
    3.1.3. Достижение целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных действующим законодательством Российской Федерации на Компанию функций, полномочий и обязанностей, в том числе в рамках следующих нормативно-правовых актов Российской Федерации:
    — Трудовой кодекс Российской Федерации;
    — Гражданский кодекс Российской Федерации;
    — Федеральный закон от 16.07.1999 г. № 165-ФЗ «Об основах обязательного социального страхования»;
    — Федеральный закон от 29.11.2010 г. № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
    — Федеральный закон от 21.11.2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
    — Федеральный закон от 15.12.2001 г. № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
    — Федеральный закон от 07.08.2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма»;
    — Федеральный закон от 07.02.1992 № 2300-1 г. «О защите прав потребителей»;
    — Федеральный закон от 06.12.2011 № 402-ФЗ г. «О бухгалтерском учете»;
    — Федеральный закон от 26.12.1995 № 208-ФЗ г. «Об акционерных обществах» и др.
    3.1.4. Исполнение договоров, стороной которых либо выгодоприобретателями или поручителями по которым являются субъекты ПДн, а также для заключения договоров по инициативе субъектов ПДн или договоров, по которым субъекты ПДн будут являться выгодоприобретателями или поручителями;
    3.1.5. Осуществление прав и законных интересов Компании и (или) третьих лиц.
    3.2. Принципы обработки персональных данных
    3.2.1. Обработка ПДн должна осуществляться на законной и справедливой основе.
    3.2.2. ПДн не должны раскрываться третьим лицам и распространяться без согласия субъекта ПДн, если иное не регламентировано действующим законодательством Российской Федерации.
    3.2.3. Должны быть определены конкретные законные цели до начала обработки (в т.ч. сбора) ПДн.
    3.2.4. Должен вестись сбор только тех ПДн, которые являются необходимыми и достаточными для заявленной цели обработки.
    3.2.5. Не должно осуществляться объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
    3.2.6. Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей.
    3.2.7. Обрабатываемые ПДн должны быть уничтожены или обезличены по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не регламентировано действующим законодательством Российской Федерации.
    3.3. Сбор персональных данных
    3.3.1. Компания при осуществлении своей деятельности может осуществлять обработку ПДн, которая может включать следующие действия (операции) с персональными данными: сбор, получение, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), в т.ч. трансграничную, и поручение обработки третьим лицам, блокирование, удаление, уничтожение ПДн как с использованием средств автоматизации, так и без использования таких средств, а также путем смешанной обработки ПДн.
    3.3.2. Обработка персональных данных субъектов ПДн должна осуществляться при наличии согласия субъектов ПДн, если иное не регламентировано действующим законодательством Российской Федерации.
    3.3.3. В случаях, регламентированных действующим законодательством Российской Федерации, согласие на обработку ПДн должно соответствовать требованиям ч. 4 ст. 9 Закона.
    3.3.4. Согласие на обработку ПДн в письменной форме на бумажном носителе должно быть подписано субъектом ПДн собственноручно.
    3.3.5. Согласие на обработку ПДн в форме электронного документа должно быть подписано электронной подписью в соответствии с требованиями действующего законодательства Российской Федерации.
    3.3.6. Включение ПДн в общедоступные источники ПДн должно осуществляться на основании согласия субъекта ПДн, подписанного с учетом требований п. 3.3.3 – 3.3.5 Политики.
    3.3.7. При сборе ПДн, в том числе посредством сети Интернет, Компания обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
    3.4. Обработка персональных данных посредством сайта(ов) Компании.
    3.4.1. Официальный корпоративный сайт Компании опубликован в сети Интернет по адресу https://steelcam.org (далее – Сайт). Также Компании принадлежат иные сайты, являющиеся поддоменами steelcam.org. В работе Сайта задействованы, в том числе, технологии cookie и веб-маяки (web beacons). Указанные технологии позволяют предоставлять пользователям Сайта настроенное под них окружение при повторном посещении Сайта.
    3.4.2. Файлы cookie, используемые на Сайте, подразделяются на такие категории как: «необходимые», «эксплуатационные» и «функциональные».
    3.4.3. Необходимые файлы cookie обязательны для просмотра веб-страниц Сайта и полноценного использования их функций. Без их использования невозможно обеспечить работу таких сервисов как корзина покупок и личный кабинет.
    3.4.4. Эксплуатационные файлы cookie собирают информацию об использовании Сайта, например, о наиболее часто посещаемых его страницах. Указанные файлы используются для оптимизации работы Сайта и упрощения для пользователей навигации по нему. Эксплуатационные файлы cookie также используются для определения использования сервисов Компании, таких как корзина покупок в результате посещения Сайта. Вся информация, собранная с помощью указанных файлов предназначена для статистических целей и остается анонимной.
    3.4.5. Функциональные файлы cookie позволяют Сайту запоминать пользовательский выбор при использовании Сайта. Такие файлы могут запоминать месторасположение пользователей для отображения Сайта на языке страны, в которой располагается пользователь, а также запоминать настройки размера шрифта текста и других настраиваемых параметров Сайта.
    3.4.6. Информация собираемые посредством файлов cookie не позволяет однозначно идентифицировать пользователей Сайта.
    3.4.7. Компания может обрабатывать файлы cookie самостоятельно или с привлечением сторонних Сервисов, опубликованных на официальном сайте Компании, указанном в п. 3.4.1, для целей, указанных выше.
    3.4.8. Если пользователи Сайта предпочитают не получать файлы cookie при просмотре Сайта, они могут настроить свой браузер таким образом, чтобы не получать такие файлы, либо так, чтобы браузер предупреждал пользователей перед принятием файлов cookie либо блокировал их.
    3.5. Передача персональных данных
    3.5.1. Передача ПДн Компанией в адрес третьих лиц должна осуществляться при наличии согласий субъектов ПДн или в иных случаях, регламентированных действующим законодательством Российской Федерации. Перечень третьих лиц, в адрес которых Компания может осуществлять передачу и поручение ПДн, должен быть опубликован на официальном сайте Компании. Указанный перечень третьих лиц может быть скорректирован в случае изменения его состава.
    3.5.2. Компания должна поручать обработку ПДн третьим лицам с согласия субъектов ПДн или при наличии иных правовых оснований на основании заключаемых с этими лицами договоров, содержащих поручение на обработку персональных данных с учетом требований, регламентированных ч. 3 ст. 6 Закона.
    3.5.3. В случае установления факта неправомерной или случайной передачи ПДн, повлекшей нарушение прав субъектов ПДн, Компания обязана с момента выявления такого инцидента уведомить Роскомнадзор в соответствии с требованиями ч. 3.1 ст. 21 Закона.
    3.6. Хранение персональных данных
    3.6.1. Сроки хранения ПДн должны определяться в соответствии с Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденным Приказом Росархива от 20.12.2019 г. № 236, Налоговым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом № 402-ФЗ от 06.12.2011 г. «О бухгалтерском учете», иными федеральными законами, основными правилами работы архивов организаций и внутренними нормативными документами Компании.
    3.6.2. Сроки хранения ПДн должны фиксироваться в Перечне обрабатываемых ПДн в Компании.
    3.6.3. Хранение ПДн должно осуществляться способом, обеспечивающим конфиденциальность в отношении хранимых ПДн.
    3.7. Уничтожение персональных данных
    3.7.1. ПДн субъектов ПДн подлежат уничтожению, если иное не регламентировано действующим законодательством Российской Федерации или соглашением между Компанией и субъектом ПДн, в следующих случаях:
    — по истечении установленных сроков обработки ПДн;
    — по достижении целей обработки или отсутствии более необходимости в достижении этих целей;
    — по требованию субъекта ПДн (его представителя) или Роскомнадзора;
    — при отзыве субъектом ПДн своего согласия на обработку ПДн.
    3.7.2. Уничтожение ПДн должно осуществляться способом, обеспечивающим гарантированное уничтожение ПДн (без возможности восстановления ПДн).
  4. Порядок обработки обращений субъектов персональных данных
    4.1. Субъекты ПДн могут обращаться в Компанию по вопросам обработки своих ПДн в следующих случаях:
    — для получения информации, касающейся обработки ПДн;
    — для уточнения ПДн, если они являются неполными, устаревшими, неточными,
    незаконно полученными либо не являются необходимыми для заявленной цели обработки;
    — для подачи жалобы на неправомерную обработку Компанией ПДн;
    — для отзыва своего согласия на обработку ПДн.
    4.2. Субъекты ПДн должны направлять в адрес Компании обращения по вопросам обработки персональных данных следующими способами:
    — личное обращение;
    — с использованием почты России на адрес Компании: 620078, г. Екатеринбург, ул. Мира, д. 37, а/я 39;
    — электронным письмом на адрес электронной почты office@steelcam.org;
    — с использованием формы отправки запроса и пр.
    4.3. Обращение субъекта должно содержать:
    — Ф.И.О. субъекта ПДн или его представителя;
    — номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
    — сведения, подтверждающие наличие у субъекта ПДн отношений с Компанией;
    — информацию для обратной связи с целью направления Компанией ответа на запрос;
    — подпись субъекта ПДн (или его представителя). Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
    4.4. Компания обязана обработать обращение субъекта ПДн и предоставить официальный ответ в течение 10 дней с момента регистрации обращения субъекта ПДн с использованием контактной информации, указанной в обращении.
    4.5. В случае увеличения срока на обработку обращения субъекта ПДн на 5 дней Компания должна уведомить об этом субъекта ПДн с использованием контактной информации, указанной в обращении.
    4.6. Обращения субъектов ПДн и официальные ответы на такие обращения должны регистрироваться в соответствии с принятыми в Компании правилами регистрации входящей и исходящей корреспонденции.
  5. Обеспечение защиты персональных данных при их обработке
    5.1. Компания должна принимать необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного и/или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предотвращения распространения ПДн, а также от иных неправомерных действий в отношении ПДн, включая:
    5.1.1. Назначение лица, ответственного за организацию обработки ПДн, и лица, ответственного за обеспечение безопасности ПДн.
    5.1.2. Разработка и утверждение внутренних нормативных документов по вопросам обработки и защиты ПДн.
    5.1.3. Применение правовых, организационных и технических мер по обеспечению безопасности ПДн:
    — определение угроз безопасности ПДн при их обработке в ИСПДн;
    — применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн;
    — применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
    — оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
    — учет машинных носителей ПДн, если хранение ПДн осуществляется на машинных носителях;
    — обнаружение фактов несанкционированного доступа к ПДн и принятие мер по
    недопущению подобных инцидентов в дальнейшем;
    — восстановление ПДн, модифицированных или уничтоженных вследствие
    несанкционированного доступа к ним;
    — установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
    — контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
    — внедрение организационных мер, необходимых для исполнения требований Регламента.
    5.1.4. Контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ИСПДн.
    5.1.5. Оценка вреда, который может быть причинен субъектам ПДн в случае нарушения требований Закона, соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом.
    5.1.6. Ознакомление Работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации по вопросам обработки и защиты ПДн, в том числе с требованиями к защите ПДн, внутренними нормативными документами по вопросам обработки и защиты ПДн, и обучение Работников Компании.
  6. Права и обязанности субъектов персональных данных
    6.1 Субъект ПДн, ПДн которого обрабатываются Компанией, имеет право: 6.1.1. Получать от Компании:
    — подтверждение факта обработки ПДн;
    — сведения о правовых основаниях и целях обработки ПДн;
    — сведения о применяемых Компанией способах обработки ПДн;
    — сведения о наименовании и местонахождении Компании;
    — сведения о лицах (за исключением Работников), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Компанией или на основании федерального закона;
    — перечень обрабатываемых ПДн, относящихся к субъекту ПДн, и информацию об источнике их получения, если иной порядок предоставления таких ПДн не предусмотрен федеральным законом;
    — сведения о сроках обработки ПДн, в том числе о сроках их хранения;
    — сведения о порядке осуществления субъектом ПДн прав, предусмотренных федеральным законом;
    — информацию о способах исполнения оператором обязанностей, установленных ст. 18.1 Закона;
    — иные сведения, предусмотренные федеральным законом или другими нормативно-правовыми актами РФ.
    6.1.2. Требовать от Компании уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
    6.1.3. Отозвать свое согласие на обработку ПДн в любой момент.
    6.1.4. Требовать устранения неправомерных действий Компании в отношении его ПДн.
    6.1.5. Обжаловать действия или бездействие Компании в Роскомнадзор или в судебном порядке в случае, если субъект ПДн считает, что Компания осуществляет обработку его ПДн с нарушением требований Закона или иным образом нарушает его права и свободы.
    6.1.6. На защиту своих прав и законных интересов, в том числе на возмещения убытков и/или компенсацию морального вреда в судебном порядке.
    6.1.7. На перенос ПДн в предусмотренных Регламентом случаях.
  7. Заключительные положения
    7.1. Политика является внутренним нормативным документом Компании. Политика является общедоступной и подлежит обязательному опубликованию в сети Интернет на официальном сайте компании по адресу https://steelcam.org.
    7.2. Актуализация Политики осуществляется не реже одного раза в 3 года или в любом из следующих случаев:
    — по решению руководства Компании;
    — при изменении законодательства Российской Федерации в области обработки и защиты ПДн;
    — в случаях получения предписаний на устранение несоответствий, затрагивающих область действия Политики;
    — при появлении необходимости в изменении процесса обработки ПДн, связанной с деятельностью Компании.
    7.3. В случае внесения изменений в Политику изменения вступают в силу с момента размещения измененного текста документа в сети Интернет на официальном сайте Компании по адресу https://steelcam.org, если иной срок вступления изменений в силу не регламентирован при таком размещении дополнительно.
    7.4. В случае неисполнения положений Политики Компания ее Работники несут ответственность в соответствии с действующим законодательством Российской Федерации.
    7.5. Контроль исполнения требований Политики осуществляется лицом, ответственным за организацию обработки ПДн в Компании, контакты которого указаны в реестре операторов, осуществляющих обработку персональных данных, опубликованном в сети Интернет на официальном сайте Роскомнадзора по адресу https://pd.rkn.gov.ru/operators-registry/operators-list/.
  1. Порядок обработки обращений субъектов персональных данных
    4.1. Субъекты ПДн могут обращаться в Компанию по вопросам обработки своих
    ПДн в следующих случаях:
    — для получения информации, касающейся обработки ПДн;
    — для уточнения ПДн, если они являются неполными, устаревшими, неточными,
    незаконно полученными либо не являются необходимыми для заявленной цели обработки;
    — для подачи жалобы на неправомерную обработку Компанией ПДн;
    — для отзыва своего согласия на обработку ПДн.
    4.2. Субъекты ПДн должны направлять в адрес Компании обращения по
    вопросам обработки персональных данных следующими способами:
    — личное обращение;
    — с использованием почты России на адрес Компании: 620078, г. Екатеринбург, ул. Мира, д. 37, а/я 39;
    — электронным письмом на адрес электронной почты office@steelcam.org;
    — с использованием формы отправки запроса и пр.
    4.3. Обращение субъекта должно содержать:
    — Ф.И.О. субъекта ПДн или его представителя;
    — номер основного документа, удостоверяющего личность субъекта ПДн или его
    представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
    — сведения, подтверждающие наличие у субъекта ПДн отношений с Компанией;
    — информацию для обратной связи с целью направления Компанией ответа на
    запрос;
    — подпись субъекта ПДн (или его представителя). Если запрос отправляется в
    электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
    4.4. Компания обязана обработать обращение субъекта ПДн и предоставить
    официальный ответ в течение 10 дней с момента регистрации обращения субъекта ПДн с использованием контактной информации, указанной в обращении.
    4.5. В случае увеличения срока на обработку обращения субъекта ПДн на 5 дней
    Компания должна уведомить об этом субъекта ПДн с использованием контактной информации, указанной в обращении.
    4.6. Обращения субъектов ПДн и официальные ответы на такие обращения
    должны регистрироваться в соответствии с принятыми в Компании правилами регистрации входящей и исходящей корреспонденции.
  2. Обеспечение защиты персональных данных при их обработке
    5.1. Компания должна принимать необходимые правовые, организационные и
    технические меры для защиты ПДн от неправомерного и/или несанкционированного доступа к ним, уничтожения, изменения, блокирования, копирования, предотвращения распространения ПДн, а также от иных неправомерных действий в отношении ПДн, включая:
    5.1.1. Назначение лица, ответственного за организацию обработки ПДн, и лица,
    ответственного за обеспечение безопасности ПДн.
    5.1.2. Разработка и утверждение внутренних нормативных документов по вопросам обработки и защиты ПДн.
    5.1.3. Применение правовых, организационных и технических мер по обеспечению безопасности ПДн:
    — определение угроз безопасности ПДн при их обработке в ИСПДн;
    — применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн;
    — применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
    — оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
    — учет машинных носителей ПДн, если хранение ПДн осуществляется на машинных носителях;
    — обнаружение фактов несанкционированного доступа к ПДн и принятие мер по
    недопущению подобных инцидентов в дальнейшем;
    — восстановление ПДн, модифицированных или уничтоженных вследствие
    несанкционированного доступа к ним;
    — установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также
    обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
    — контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
    — внедрение организационных мер, необходимых для исполнения требований
    Регламента.
    5.1.4. Контроль за принимаемыми мерами по обеспечению безопасности ПДн и
    уровнем защищенности ИСПДн.
    5.1.5. Оценка вреда, который может быть причинен субъектам ПДн в случае
    нарушения требований Закона, соотношение указанного вреда и принимаемых Компанией мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом.
    5.1.6. Ознакомление Работников, непосредственно осуществляющих обработку
    ПДн, с положениями законодательства Российской Федерации по вопросам обработки и защиты ПДн, в том числе с требованиями к защите ПДн, внутренними нормативными документами по вопросам обработки и защиты ПДн, и обучение Работников Компании.
  3. Права и обязанности субъектов персональных данных
    6.1 Субъект ПДн, ПДн которого обрабатываются Компанией, имеет право:
    6.1.1. Получать от Компании:
    — подтверждение факта обработки ПДн;
    — сведения о правовых основаниях и целях обработки ПДн;
    — сведения о применяемых Компанией способах обработки ПДн;
    — сведения о наименовании и местонахождении Компании;
    — сведения о лицах (за исключением Работников), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Компанией или на основании федерального закона;
    — перечень обрабатываемых ПДн, относящихся к субъекту ПДн, и информацию об источнике их получения, если иной порядок предоставления таких ПДн не предусмотрен федеральным законом;
    — сведения о сроках обработки ПДн, в том числе о сроках их хранения;
    — сведения о порядке осуществления субъектом ПДн прав, предусмотренных
    федеральным законом;
    — информацию о способах исполнения оператором обязанностей, установленных ст. 18.1 Закона;
    — иные сведения, предусмотренные федеральным законом или другими нормативноправовыми актами РФ.
    6.1.2. Требовать от Компании уточнения своих ПДн, их блокирования или
    уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
    6.1.3. Отозвать свое согласие на обработку ПДн в любой момент.
    6.1.4. Требовать устранения неправомерных действий Компании в отношении его ПДн.
    6.1.5. Обжаловать действия или бездействие Компании в Роскомнадзор или в
    судебном порядке в случае, если субъект ПДн считает, что Компания осуществляет обработку его ПДн с нарушением требований Закона или иным образом нарушает его права и свободы.
    6.1.6. На защиту своих прав и законных интересов, в том числе на возмещения
    убытков и/или компенсацию морального вреда в судебном порядке.
    6.1.7. На перенос ПДн в предусмотренных Регламентом случаях.
  4. Заключительные положения
    7.1. Политика является внутренним нормативным документом Компании. Политика является общедоступной и подлежит обязательному опубликованию в сети Интернет на официальном сайте компании по адресу https://steelcam.org.
    7.2. Актуализация Политики осуществляется не реже одного раза в 3 года или в
    любом из следующих случаев:
    — по решению руководства Компании;
    — при изменении законодательства Российской Федерации в области обработки и защиты ПДн;
    — в случаях получения предписаний на устранение несоответствий, затрагивающих область действия Политики;
    — при появлении необходимости в изменении процесса обработки ПДн, связанной с деятельностью Компании.
    7.3. В случае внесения изменений в Политику изменения вступают в силу с
    момента размещения измененного текста документа в сети Интернет на официальном сайте Компании по адресу https://steelcam.org, если иной срок вступления изменений в силу не регламентирован при таком размещении дополнительно.
    7.4. В случае неисполнения положений Политики Компания ее Работники несут ответственность в соответствии с действующим законодательством Российской
    Федерации.
    7.5. Контроль исполнения требований Политики осуществляется лицом,
    ответственным за организацию обработки ПДн в Компании, контакты которого указаны в реестре операторов, осуществляющих обработку персональных данных, опубликованном в сети Интернет на официальном сайте Роскомнадзора по адресу https://pd.rkn.gov.ru/operators-registry/operators-list/.