Skip to content

Положение о работе с персональными данными

ООО «ТОТАЛ ВОСТОК»

ПОЛОЖЕНИЕ

О работе с персональными данными

Правовые основания обработки персональных данных

•   Федеральный закон РФ 152-ФЗ от 27.07.2006 «О персональных данных»
•   Трудовой кодекс Российской Федерации
•   Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»
•   Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
•   Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
•   Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
•   Регламент ЕС 2016/679 «Общий регламент по защите данных»
•   иные нормативные правовые акты Российской Федерации и международные акты.

1. Основные понятия

Персональные данные (ПД) – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Персональные данные, в частности, включают в себя следующее:
•   Имя, фамилия, отчество, дата рождения;
•   Биометрические данные (голос, отпечатки пальцев, ДНК, медицинские показатели и пр.);
•   Фотографии, иные изображения;
•   Семейное положение;
•   Контактные данные (номера телефонов рабочих и личных мобильных телефонов, электронная почта (личная и рабочая), адрес проживания;
•   Профессиональный опыт (должность и место текущей работы), биография, образование;
•   Финансовая информация (банковские реквизиты, уровень дохода и др.);
•   Геолокация (GPS, GSM координаты, иные маршруты движения, точки нахождения).
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором, в целях настоящей политики, является ООО «ТОТАЛ ВОСТОК» (далее – Компания).

2. Принципы защиты данных

Данная Политика направлена на обеспечение соблюдения применимого российского и международного законодательства в рамках обеспечения защиты персональных данных. Политика устанавливает следующие принципы, которым должна соответствовать Компания, ее сотрудники и контрагенты, выступающие от имени Компании, обрабатывающие персональные данные. Обработка персональных данных осуществляется на основе следующих принципов:
2.1   законности и справедливой основы;
2.2   ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
2.3   недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
2.4   недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
2.5   обработки только тех персональных данных, которые отвечают целям их обработки;
2.6   соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
2.7   недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
2.8   обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
2.9   обеспечения хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
2.10  уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено применимым правом.

3. Права субъектов данных

Политика устанавливает следующие права, применимые к субъектам персональных данных:
3.1 право быть информированным (право на получение сведений об обработке его персональных данных);
3.2   право на доступ (подтверждение факта обработки персональных данных, правовые основания и цели обработки персональных данных, цели и применяемые способы обработки персональных данных, наименование и место нахождения и сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные, сроки обработки персональных данных, в том числе сроки их хранения, порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом, наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению, если обработка поручена или будет поручена такому лицу, обращение к лицу, обрабатывающему персональные данные и направление ему запросов);
3.3   право на исправление, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
3.4   право на удаление (также известное как «право быть забытым»);
3.5   право ограничивать обработку в случае, если точность персональных данных оспаривается субъектом персональных данных, обработка является неправомерной, и субъект персональных данных возражает против удаления персональных данных, и взамен требует ограничить их использование, Компании больше не нужны персональные данные для целей обработки, но они требуются субъекту персональных данных для предъявления, исполнения или защиты своих прав, субъект персональных данных возражал против обработки. В случае, если обработка была ограничена такие персональные данные должны, за исключением хранения, обрабатываться только с согласия субъекта персональных данных или для предъявления, исполнения или защиты правовых притязаний, или для защиты прав другого физического или юридического лица, а также для иных целей, установленных применимым правом.
3.6   право на переносимость данных (возможность получить от Компании свои персональные данные в структурированном виде и в общераспространенном формате данных и возможность дать распоряжение Компании передать персональные данные другому оператору при наличии технической возможности);
3.7 право субъекта персональных данных на возражение против обработки его персональных данных.

4. Законная, справедливая и прозрачная обработка данных

Политика стремится обеспечить, чтобы персональные данные обрабатывались законно, справедливо и прозрачно, не нанося ущерб правам субъекта персональных данных. Обработка персональных данных является законной, если применяется хотя бы одно из следующих условий:
4.13.1   субъект персональных данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей;
4.13.2   обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора персональных данных функций, полномочий и обязанностей;
4.13.3   обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
4.13.4   обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве
4.13.5   обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
4.13.6   обработка персональных данных необходима для исполнения договора, стороной которого, либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем;
4.13.7   обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
4.13.8   обработка персональных данных необходима для осуществления прав и законных интересов Компании или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
4.13.9   обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
4.13.10   обработка персональных данных осуществляется в статистических или иных исследовательских целях;
4.13.11   осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
4.13.12   осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
4.14 Порядок и условия обработки персональных данных:
4.14.1    Компания получает персональные данные непосредственно от субъекта персональных данных или его представителя, если иной порядок получения персональных данных не установлен применимым правом.
4.14.2    Персональные данные могут быть получены не от субъекта персональных данных при наличии согласия субъекта персональных данных на передачу его персональных данных в Компанию для обработки, если иной порядок получения персональных данных не предусмотрен применимым правом.
4.14.3    Компания должна сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных, перечне действий с персональными данными, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.
4.14.4    Компания собирает, обрабатывает и хранит персональные данные только для конкретных целей, изложенных ниже (или для других целей, указанных в согласии субъекта персональных данных, или предусмотренных применимым правом).

5. Определенные, явные и законные цели обработки персональных данных

Цели обработки персональных данных:
5.1.1   кандидатам в трудоустройстве (физические лица - соискатели на должности в Компании), обучении и карьерном росте, контроль количества и качества выполняемой работы, соблюдение норм трудового законодательства и иных актов, содержащих нормы трудового права;
5.1.2   обеспечение выплаты заработной платы, социальных льгот и гарантий, личной безопасности или иных жизненно важных интересов работников Компании, в соответствии с трудовым законодательством;
5.1.3   заключение и исполнение гражданско-правовых договоров, в том числе договоров на оказание услуг;
5.1.4   содействие работникам Компании и Информирование посетителей сайта Компании, расположенного в информационно-телекоммуникационной сети Интернет по адресу http://www.total-lub.ru и http://www.elf-lub.ru (Сайт), о Компании, целях и направлениях его деятельности, качестве предоставляемых услуг, а именно:
– направление ответов на поступающие вопросы и просьбы;
– обработка заказов и заявок;
– администрирование аккаунта посетителей Сайта;
– исполнение и соблюдение обязательств в связи с любым соглашением, заключаемым Компанией с субъектом персональных данных;
– предотвращение и решение проблем, связанных с любыми товарами, поставляемыми Компанией, и услугами, оказываемыми Компанией;
– проведение мероприятий прямого маркетинга для оптимизации оказываемых услуг (при условии получения предварительного согласия субъекта персональных данных на использование персональных данных для прямого маркетинга);
5.1.5   соблюдение антимонопольного законодательства;
5.1.6   защита прав и законных интересов Компании и его должностных лиц в судах, органах по разрешению споров, административных правоохранительных и иных органах;
5.1.7   формирование отчетности или подготовки предусмотренных законодательством заявлений, уведомлений и т.д. в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования, Федеральную налоговую службу и другие государственные органы и службы, включая их территориальные подразделения;
5.1.8   консолидация статистических данных и показателей Компании;
5.1.9   проведение контрольных и аудиторских проверок организаций Компании;
5.1.10   проведение тендерных процедур, предусмотренных локальными нормативными актами Компании;
5.1.11   подготовка доверенностей, выдаваемых работникам Компании, работникам иных организаций и физическим лицам;
5.1.12   обеспечение пропускного и внутриобъектового режимов в административных помещениях компании, обеспечение сохранности имущества;
5.1.13   ведение корпоративных телефонных и иных информационных справочников, публикаций сообщений на внутрикорпоративных порталах, досках почета и в общедоступных информационных системах персональных данных.

6. Категории субъектов персональных данных

6.1   Работники Компании, их родственники
6.2   Кандидаты, рассматриваемые для заключения трудовых договоров
6.3   Субъекты, обработка персональных данных которых связана с исполнением условий заключенных договоров
6.4   Субъекты, заключившие гражданско-правовые договоры с Компанией
6.5   Лица, состоявшие ранее в трудовых отношениях с Компанией
6.6   Потенциальные контрагенты (физические лица)
6.7   Учредители (физические лица) потенциальных контрагентов
6.8   Лица, осуществляющие функции единоличных исполнительных органов Компании
6.9   Адвокаты, нотариусы, осуществляющие взаимодействие с Компанией
6.10   Посетители Интернет-ресурсов Компании
6.11   Пользователи приложений и программ Компании для Персональных электронно-вычислительных машин
6.12   Участники стимулирующих рекламных мероприятий Компании
6.13   Авторы письменных обращений в адрес Компании
6.14   Другие субъекты персональных данных (для обеспечения реализации целей обработки персональных данных, указанных в пункте 5 Положения).

7. Адекватная, целевая и ограниченная обработка данных

Компания обязуется собирать и обрабатывать персональные данные в объеме, необходимом исключительно для конкретных целей, о которых субъекты данных были проинформированы (или будут проинформированы).

8. Точность данных и их актуальность

8.1   Точность персональных данных проверяется при их сборе. Если какие-либо персональные данные будут признаны некорректными или устаревшими, будут предприняты все разумные меры для незамедлительного изменения или удаления этих данных.
8.2   В случае подтверждения факта неточности персональных данных Компания на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) и снимает блокирование персональных данных.

9. Сохранность данных

9.1   При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональных данных, Компания уничтожает персональные данные, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

10. Безопасная обработка

10.1   Компания гарантирует, что все персональные данные, которые собираются, хранятся и обрабатываются, защищены от несанкционированной или незаконной обработки, а также от непреднамеренной утери, уничтожения или повреждения.
10.2   Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) в Информационной системе персональных данных.
10.3   Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
10.4   Компания соблюдает условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

11. Подотчетность и делопроизводство

11.1   Ответственный за организацию обработки персональных данных и защиту персональных данных в ООО «ТОТАЛ ВОСТОК» — (на момент утверждения настоящей Политики – Артамонов Александр): [email protected]
11.2   Сотрудник по защите данных отвечает надзор за введением и соблюдением настоящей Политики, а также других политик Компании, связанных с защитой персональных данных и другого применимого права о защите персональных данных.

12. Оценка воздействия на защиту данных

12.1   Компания должна проводить оценку воздействия на защиту персональных данных для всех новых проектов и (или) новых видов использования персональных данных, включающих использование новых технологий, где применимая обработка может нести высокие риски для прав и свобод субъектов персональных данных в соответствии с применимым правом.
12.2   Оценка воздействия на защиту персональных данных должна контролироваться сотрудником по защите данных, указанным в п 11.1. настоящей Политики, и должна учитывать следующее:
12.2.1   тип(ы) собираемых, хранимых и обрабатываемых персональных данных
12.2.2   цели, для которых используются персональные данные
12.2.3   цели Компании
12.2.4   характер использования персональных данных
12.2.5   необходимость и пропорциональность обработки персональных данных относительно целей, для которых они обрабатываются
12.2.6   риски для субъектов персональных данных
12.2.7   возможные риски Компании
12.2.8   предлагаемые меры по идентификации, оценке и минимизации выявленных рисков.

13. Информирование субъектов данных

13.1   Компания должна предоставлять информацию о персональных данных каждому субъекту персональных данных:
13.1.1   если персональные данные собираются непосредственно от субъектов персональных данных, то эти субъекты персональных данных обязаны быть проинформированы о назначении цели обработки таких персональных данных до начала обработки данных; а также
13.1.2   если персональные данные получены от третьей стороны, соответствующие субъекты персональных данных обязаны быть проинформированы о назначении цели обработки таких персональных данных:
a) если персональные данные используются для связи с субъектом персональных данных, то при осуществлении первого контакта; или
b) в разумные сроки после получения персональных данных.
13.2   Следующая информация должна быть предоставлена субъекту персональных данных:
13.2.1   сведения о Компании, включая, помимо прочего, данные сотрудника по защите персональных данных;
13.2.2   цели, для которых персональные данные собираются и обрабатываются, а также правовая основа, определяющая такой сбор и обработку;
13.2.3   в случае необходимости законные интересы, которыми Компания обосновывает сбор и обработку персональных данных;
13.2.4   категории собираемых и обрабатываемых персональных данных, если персональные данные не получены непосредственно от субъекта персональных данных;
13.2.5   если персональные данные должны быть переданы одной или нескольким третьим сторонам, данные этих сторон;
13.2.6   если персональные данные должны быть переданы третьей стороне, детали этой передачи;
13.2.7 подробная информация о хранении персональных данных;
13.2.8   подробная информация о правах субъекта персональных данных;
13.2.9   подробная информация о праве субъекта персональных данных отозвать свое согласие на обработку Компанией его персональных данных;
13.2.10   подробная информация о праве субъекта персональных данных на подачу жалобы в уполномоченные органы;
13.2.11   в случае необходимости подробности любых юридических или договорных требований или обязательств, требующих сбора и обработки персональных данных;
13.2.12   подробная информация о любых автоматизированных решениях и о составлении профиля персональных данных (профиль субъекта персональных данных - набор взаимосвязанных персональных данных, которые характеризуют субъекта персональных данных).

14. Доступ к персональным данным для субъектов данных

14.1   Субъекты персональных данных могут подавать запросы на доступ к персональным данным (далее – запрос), чтобы узнать о своих персональных данных, которыми Компания обладает, о способах и целях обработки персональных данных.
14.2   Ответы на запросы обычно должны быть составлены в течение 30 календарных дней с момента получения запросов.
14.3   Все полученные запросы должны обрабатываться сотрудником Компании по защите данных.
14.4   Компания обязана предоставить безвозмездно субъекту персональных данных возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.

15. Внесение изменений в персональные данные

15.1   Субъекты персональных данных имеют право требовать от Компании исправления любых своих персональных данных, которые являются неточными или неполными.
15.2   Компания должна исправить указанные персональные данные и проинформировать субъекта персональных данных об этом исправлении в течение 30 календарных дней с момента обращения в Компанию по вопросу исправления.
15.3   В случае если персональные данные были переданы третьим лицам, эти лица должны быть проинформированы Компанией о любом исправлении, которое должно быть проведено в отношении переданных третьим лицам персональных данных.

16. Удаление персональных данных

16.1   Субъекты персональных данных имеют право требовать, чтобы Компания удалила персональные данные о них в следующих случаях:
16.1.1   компания больше не нуждается в хранении этих персональных данных для целей, для которых они были первоначально собраны или обработаны;
16.1.2   субъект персональных данных желает отозвать свое согласие на владение и обработку Компанией его персональных данных;
16.1.3   субъект персональных данных возражает против того, чтобы Компания хранила и обрабатывала его персональные данные (и нет никаких законных оснований, позволяющих Компании продолжать осуществлять данные действия);
16.1.4   персональные данные были обработаны незаконно;
16.1.5   персональные данные должны быть удалены с целью соблюдения Компанией соответствующего правого обязательства.
16.2.   Если Компания не имеет законных оснований отказаться от удаления персональных данных, все запросы на удаление должны быть выполнены, а субъект персональных данных проинформирован об удалении.
16.3   В случае если какие-либо персональные данные, подлежащие удалению в ответ на запрос субъекта персональных данных, были раскрыты третьим сторонам, эти стороны должны быть проинформированы о необходимости удаления персональных данных субьекта (за исключением случаев, когда это невозможно).
16.4   По истечении срока обработки персональные данные уничтожаются или обезличиваются для использования в статистических или иных исследовательских целях.

17. Ограничение обработки персональных данных

17.1   Субъект персональных данных имеет право потребовать от Компании ограничить обработку, если применимо одно из следующих условий:
- точность персональных данных оспаривается субъектом персональных данных,
- обработка персональных данных является неправомерной, и субъект персональных данных возражает
против удаления персональных данных, и взамен требует ограничить их использование;
17.2 В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Компания обязана прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если Компания не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных применимым правом.
17.3   В случае если персональные данные были раскрыты третьим сторонам, эти стороны должны быть проинформированы о применимых ограничениях на их обработку (за исключением случаев, когда это невозможно).

18. Переносимость данных

18.1   Данные субъекта персональных данных, при наличии его согласия, могут быть переданы между Компанией и ее контрагентами для обеспечения Компания выполнения своих договорных обязательств с субъектом персональных данных.
18.2   Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено применимым правом, на основании заключаемого с этим лицом договора.
18.3   В поручении (договоре) определяется перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указываются требования к защите обрабатываемых персональных данных.

19. Возражения против обработки персональных данных

19.1   Субъекты персональных данных имеют право возражать против обработки Компанией их персональных данных на основе законных интересов.
19.2   Если субъект персональных данных возражает против того, чтобы Компания обрабатывала его персональные данные на основе своих законных интересов, Компания должна немедленно прекратить такую обработку, если не будет доказано, что Компания имеет право обрабатывать персональные данные такого лица в соответствии с законодательством РФ.

20. Собираемые, хранимые и обрабатываемые персональные

20.1   Компанией обрабатываются, в том числе, общедоступные персональные данные субъектов персональных данных, собранные из общедоступных источников персональных данных: фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
20.2   Обработка специальных категорий персональных данных (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни), семейного статуса, сведения о родственниках, биометрических персональных данных (характеризующих физиологические и биологические особенности человека, на основании которых можно установить личность субъекта) в Компании допускается в случаях, предусмотренных применимым правом и/или согласия субъекта персональных данных.

21. Защита данных: передача персональных данных и коммуникации

Компания должна обеспечить, чтобы все сообщения и другие виды информационного взаимодействия, связанные с персональными данными, осуществлялись исключительно по защищенным сетям; передача по незащищенным сетям запрещена. Сотрудники Компании, участвующие в обработке персональных данных, несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с действующим законодательством Российской Федерации за нарушение правил обработки персональных данных и требований к защите персональных данных.

22. Безопасность данных: хранение

Компания должна обеспечить принятие следующих мер в отношении хранения персональных данных:
22.1 все электронные копии персональных данных должны храниться надежно;
22.2   все бумажные копии персональных данных вместе с любыми электронными копиями, хранящимися на физических съемных носителях, следует надежно хранить в запертом ящике, шкафу и т. п.

23. Безопасность данных: уничтожение

23.1   По истечении срока обработки и в иных случаях, предусмотренных применимым правом, персональные данные уничтожаются или обезличиваются для использования в статистических или иных исследовательских целях.
23.2   Уничтожение документов (носителей), содержащих персональные данные, производится путем дробления (измельчения). Для уничтожения бумажных документов допускается применение шредера.
23.3   Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.

24. Безопасность данных: использование персональных данных

Компания должна обеспечить принятие следующих мер в отношении использования персональных данных:
24.1 персональные данные должны всегда использоваться с осторожностью, и их запрещается оставлять без присмотра или на усмотрение посторонних сотрудников, контрагентов Компании или других лиц;
24.2   если персональные данные просматриваются на экране компьютера и данный компьютер остается без присмотра в течение какого-либо периода времени, пользователь должен заблокировать компьютер и экран, прежде чем покинуть его;
24.3   если персональные данные, хранящиеся в Компании, используются в маркетинговых целях, Компания должна гарантировать, что получено соответствующее согласие субъектов персональных данных и что субъекты данных не отказались от обработки своих персональных данных в указанных целях.

25. Безопасность данных: ИТ-безопасность

Компания должна обеспечить принятие следующих мер в отношении ИТ- и информационной безопасности:
25.1 все пароли, используемые для защиты персональных данных, должны регулярно меняться и не должны содержать слов или фраз, которые можно легко угадать или иным образом подобрать;
25.2   пароли не должны записываться или передаваться любым сотрудникам, контрагентам Компании, выступающим от имени Компании, независимо от должности или отдела, а также иным третьим лицам. Если пароль забыт, его необходимо сбросить, используя соответствующий метод. ИТ-персонал не имеет доступа к паролям;
25.3   ИТ-персонал Компании несет ответственность за установку любых обновлений, связанных с безопасностью, на все программное обеспечение (включая, помимо прочего, приложения и операционные системы) в кратчайшие сроки после того, как обновления станут доступны, если нет веских технических причин не осуществлять данные действия
25.4   никакое программное обеспечение не может быть установлено на компьютер или устройство, принадлежащее Компании, без предварительного разрешения ИТ-отдела Компании.

26. Организационные меры

Компания должна обеспечить принятие следующих мер в отношении сбора, хранения и обработки персональных данных:
26.1   все сотрудники и контрагенты Компании, выступающие от имени Компании, должны быть полностью осведомлены как об их индивидуальных обязанностях, так и об обязанностях Компании в рамках законодательства по защите персональных данных и в соответствии с настоящей Политикой;
26.2   исключительно сотрудники и контрагенты Компании, выступающие от имени Компании, которым необходим доступ к персональным данным и их использование для правильного выполнения возложенных на них обязанностей, могут иметь доступ к персональным данным, которыми владеет Компания;
26.3   все сотрудники и контрагенты Компании, выступающие от имени Компании, работающие с персональными данными, обязаны быть соответствующим образом обучены работе с персональными данными;
26.4   все сотрудники и контрагенты Компании, выступающие от имени Компании, работающие с персональными данными, должны надлежащим образом контролироваться руководством Компании;
26.5   все сотрудники и контрагенты Компании, выступающие от имени Компании, работающие с персональными данными, обязаны проявлять осторожность при обсуждении связанных с работой вопросов в отношении персональных данных как на рабочем месте, так и вне его;
26.6   методы сбора, хранения и обработки персональных данных должны регулярно анализироваться и пересматриваться с учетом требований по безопасности обработки персональных данных, предусмотренных применимым законодательством и настоящей Политикой;
26.7   обработка персональных данных в Компании осуществляется с использованием средств автоматизации, в том числе в информационных системах персональных данных, и без использования таких средств (смешанная обработка персональных данных);
26.8   при автоматизированной обработке персональных данных применяется передача персональных данных по внутренней сети Компании и с использованием информационно-телекоммуникационной сети «Интернет»;
26.9   все сотрудники и контрагенты Компании, выступающие от имени Компании, работающие с персональными данными, обязаны действовать в соответствии с применимым законодательством по защите персональных данных, настоящей Политикой и заключенным с Компанией договором; а также
26.10   все контрагенты Компании, выступающие от имени Компании, работающие с персональными данными, должны обеспечить, чтобы все их сотрудники, участвующие в обработке персональных данных, соблюдали те же условия, что и соответствующие сотрудники Компании, предусмотренные настоящей Политикой и применимым правом.

27. Уведомление об утечке данных

27.1   О случаях несанкционированного доступа и/или распространения третьим лицам персональных данных субъектов персональных данных (утечке персональных данных) работники и/или контрагенты Компании немедленно сообщают сотруднику Компании по защите персональных данных. Сотрудник Компании по защите данных, указанный в п. 11.1 Процедуры, не позднее чем через 72 часа после того, как он узнает об этом, уведомляет об утечке персональных данных компетентный надзорный орган.
27.2   В случае если нарушение целостности персональных данных может нести риск в отношении нарушения прав и свобод субъектов персональных данных, сотрудник по защите персональных данных должен обеспечить, чтобы все затронутые субъекты персональных данных были проинформированы о нарушении непосредственно и без неоправданной задержки.
27.3   Уведомления о нарушении целостности данных должно описывать ясным и простым языком характер утечки персональных данных и содержать следующую информацию:
27.4   описание характера утечки персональных данных, категорий и приблизительного количества соответствующих пострадавших субъектов персональных данных; 27.5 категории и приблизительное количество соответствующих записей по пострадавшим субъектам персональных данных;
27.6   имя и контактные данные сотрудника Компании по защите персональных данных (или другого контактного лица, от которого можно получить дополнительную информацию);
27.7   описание вероятных последствий утечки персональных данных;
27.8   подробную информацию о мерах, принятых или предложенных для принятия Компанией для устранения нарушения, включая при необходимости меры по смягчению возможных неблагоприятных последствий нарушения.

28. Трансграничная передача персональных данных

28.1   В Компании осуществляется трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
28.2   Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных (перечень таких стран утверждается уполномоченным органом по защите прав субъектов персональных данных), может осуществляться без получения письменного согласия субъекта персональных данных на трансграничную передачу с учетом целей обработки персональных данных, указанных в настоящей Политике.
28.3   Трансграничная передача персональных данных в страны, не обеспечивающие адекватной защиты прав субъектов персональных данных, осуществляется:
28.3.1   при наличии согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
28.3.2   для исполнения договора, стороной которого является субъект персональных данных;
28.3.3   для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия субъекта персональных данных в письменной форме;
28.3.4   в случаях, предусмотренных международными договорами Российской Федерации, федеральными законами (если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства).