Офисы обслуживания
Круглосуточная линия поддержки: 8 800 550 4334 / +7 499 755 4334

ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ

1 Общие положения

1.1 Настоящий документ разработан обществом с ограниченной ответственностью «Центр Развития Цифровых Платформ» (далее – Общество) в соответствии с п.2. ч.1 ст.18.1 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее - Закон) и определяет политику Общества в отношении обработки персональных данных, а также описывает меры, принимаемые Обществом для реализации требований к защите персональных данных.

1.2 Общество в соответствии с Законом является оператором, организующим и осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.3 Настоящий документ является общедоступным в соответствии с ч.2. ст.18.1 Закона и подлежит опубликованию на сайте в информационно-телекоммуникационной сети «Интернет» (далее – сеть Интернет).

1.4 Настоящий документ подлежит пересмотру и актуализации в случае изменений в законодательстве Российской Федерации о персональных данных. Изменения в настоящий документ вносятся установленным в Обществе порядком.

2 Нормативно-правовые акты, устанавливающие требования к обработке и защите ПДн

2.1 Общество при обработке персональных данных руководствуется следующими нормативными правовыми актами:

  • Конституция Российской Федерации (ст.23-24);

  • Трудовой кодекс Российской Федерации (ст. 22, 86 – 90);

  • Налоговый кодекс Российской Федерации (ст.24, 226);

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» и принятые в соответствии с ним нормативные правовые акты Российской Федерации.

Общество при обеспечении защиты персональных данных руководствуется следующими нормативно-правовыми актами:

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

  • постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

  • постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

  • Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

  • Приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;

  • Специальные требования и рекомендации по технической защите конфиденциальной информации, утвержденные приказом Государственной технической комиссии при Президенте Российской Федерации от 30.08.2002 № 282.

3 Цели обработки персональных данных

3.1 Общество обрабатывает персональные данные в следующих целях:

  • обеспечение соблюдения законов и иных нормативных правовых актов Российской Федерации, осуществление возложенных на Общество законодательством Российской Федерации функций, полномочий и обязанностей, в том числе осуществления сопровождения транзитного перемещения товаров на железнодорожном и/или автомобильном транспорте по территории Российской Федерации;

  • исполнение договоров, стороной которых либо выгодоприобретателем или поручителем, по которым является субъект персональных данных;

  • содействие работникам в трудоустройстве, обучении и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества Общества, обеспечение пользования работниками, установленными законодательством Российской Федерации гарантиями, компенсациями и льготами, ведение кадрового делопроизводства;

  • формирование кадрового резерва и принятие решения о трудоустройстве кандидата на замещение вакантной должности;

  • осуществление прав и законных интересов Общества и третьих лиц (при условии, что при этом не нарушаются права и свободы субъекта персональных данных), в том числе организация пропускного режима, обеспечение взаимодействия с контрагентами.

4 Категории субъектов персональных данных, персональные данные которых обрабатываются ООО «ЦРЦП», источники их получения, сроки обработки и хранения

4.1 Общество обрабатывает персональные данные следующих категорий субъектов персональных данных:

  • работники Общества, состоящие в трудовых отношениях с ООО «Центром Развития Цифровых Платформ»;

  • кандидаты на замещение вакантных должностей Общества;

  • владельцы транспортных средств, перевозчики, зарегистрированные в «Системе отслеживания перевозки товаров» (далее – СОПТ) (в том числе руководители и уполномоченные на взаимодействие с СОПТ работники юридических лиц);

  • физические лица, посещающие Общество, обработка персональных данных которых необходима для однократного пропуска таких лиц в служебные помещения ООО «Центра Развития Цифровых Платформ»;

  • физические лица, являющиеся контрагентами или представителями (работниками) контрагентов Общества.

4.2 Источниками получения персональных данных, обрабатываемых Обществом, являются:

  • непосредственно субъекты персональных данных (работники ООО «Центра Развития Цифровых Платформ», кандидаты на замещение вакантных должностей Общества, посетители, контрагенты, владельцы транспортных средств, перевозчки, зарегистрированные в СОПТ);

  • руководители и уполномоченные на взаимодействие с СОПТ работники юридических лиц;

  • иные государственные органы и уполномоченные организации в случаях, предусмотренных законодательством Российской Федерации.

4.3 Содержание и объем обрабатываемых Обществом персональных данных категорий субъектов персональных данных, указанных в пункте 3.1 настоящей Политики, определяются в соответствии с целями обработки персональных данных, указанными в пункте 2.2 настоящей Политики. Общество не обрабатывает персональные данные, которые являются избыточными по отношению к указанным целям обработки или несовместимы с такими целями.

4.4 В случаях, установленных пунктами 2-11 ч.1 ст. 6 Закона, обработка Обществом персональных данных осуществляется без согласия субъекта персональных данных на обработку его персональных данных. В иных случаях, обработка Обществом персональных данных осуществляется только с согласия субъекта персональных данных на обработку его персональных данных в соответствии со ст. 9 Закона.

4.5 Сроки обработки и хранения персональных данных Обществом определяются для каждой цели обработки персональных данных в соответствии с законодательно установленными сроками хранения документации, образующейся в процессе деятельности Общества, в соответствии со сроком действия договора с субъектом персональных данных, сроками исковой давности, сроками хранения документов бухгалтерского учета и на основании «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», утвержденного приказом Минкультуры Российской Федерации от 25.08.2010 № 558, и иных требований законодательства Российской Федерации.

5 Принципы и способы обработки персональных данных, перечень действий, совершаемых с персональными данными

5.1 Обработка ПДн осуществляется на основе следующих принципов:

  • обработка ПДн осуществляется на законной и справедливой основе;

  • обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;

  • обработка ПДн, несовместимая с целями сбора ПДн, не допускается;

  • не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;

  • содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не являются избыточными по отношению к заявленным целям обработки;

  • при обработке ПДн обеспечивается точность ПДн и их достаточность, в случаях необходимости и актуальность ПДн по отношению к заявленным целям их обработки;

  • хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн.

5.2 Общество осуществляет обработку персональных данных путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи, блокирования, удаления, уничтожения.

5.3 В Обществе используется смешанный (с использованием средств автоматизации и без использования средств автоматизации) способ обработки персональных данных с передачей информации по внутренней локальной сети Общества и с передачей информации по информационно-телекоммуникационной сети «Интернет» в защищенном режиме.

5.4 Общество не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, состояния здоровья.

5.5 Общество не осуществляет обработку биометрических персональных данных субъектов персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).

5.6 Общество не осуществляет трансграничную передачу персональных данных на территории иностранных государств.

5.7 Общество передает обрабатываемые персональные данные в уполномоченные организации, государственные органы, государственные внебюджетные фонды только на основаниях и в случаях, предусмотренных законодательством Российской Федерации, в том числе:

  • в рамках осуществления информационного взаимодействия в сфере обязательного социального страхования;

  • для уплаты налогов на доходы физических лиц, обязательных страховых платежей и взносов;

  • в целях осуществления правосудия, исполнения судебного акта;

  • при ответах на официальные письменные мотивированные запросы правоохранительных органов и органов судебной власти, других уполномоченных государственных органов.

5.8 В целях информационного обеспечения в Обществе могут быть созданы общедоступные источники персональных данных (справочники), в которые с письменного согласия работника ООО «Центра Развития Цифровых Платформ» включаются его фамилия, имя, отчество, сведения о должности и месте работы, служебные телефонные номера и иные персонифицированные сведения, сообщаемые работником Общества для размещения в указанных источниках.

5.9 Общество прекращает обработку персональных данных в следующих случаях (если иное не предусмотрено федеральными законами):

  • достижение цели обработки персональных данных;

  • изменение, признание утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;

  • выявление неправомерной обработки персональных данных, осуществляемой Обществом;

  • отзыв субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с Законом обработка персональных данных допускается только с согласия субъекта персональных данных.

5.10 Уничтожение Обществом персональных данных осуществляется в порядке и сроки, предусмотренные ст.21 Закона, в том числе:

  • в случае достижения цели обработки ПДн, если отсутствует иное законное основание для их обработки – в срок, не превышающий 30 дней;

  • в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, если отсутствует иное законное основание для их обработки – в срок, не превышающий 30 дней;

  • в случае выявления неправомерной обработки ПДн, если обеспечить правомерность обработки ПДн невозможно – в срок, не превышающий 10 рабочих дней.

5.11 В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п.5.10 настоящего документа, Общество осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более 6 месяцев, если иной срок не установлен федеральными законами.

5.12 Принятие Обществом на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, не осуществляется.

5.13 При поручении обработки персональных данных другому лицу Общество заключает договор (поручение оператора) с этим лицом и получает согласие субъекта персональных данных, если иное не предусмотрено Законом. При этом Общество в поручении оператора обязует лицо, осуществляющее обработку персональных данных по поручению ООО «Центра Развития Цифровых Платформ», соблюдать принципы и правила обработки персональных данных, предусмотренные Законом.

5.14 В случаях, когда Общество поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Общество. Лицо, осуществляющее обработку персональных по поручению ООО «Центра Развития Цифровых Платформ», несет ответственность перед Обществом.

6 Меры по обеспечению безопасности персональных данных при их обработке

6.1 Общество обеспечивает конфиденциальность обрабатываемых персональных данных: не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.

6.2 Общество обеспечивает защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

6.3 Общество принимает необходимые правовые, организационные, технические меры защиты персональных данных, а также меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами. Такие меры, в том числе, включают:

  • создание структурного подразделения, ответственного за обеспечение безопасности информации конфиденциального характера, в том числе персональных данных;

  • назначение работника ООО «Центра Развития Цифровых Платформ», ответственного за организацию обработки персональных данных;

  • издание нормативных актов, регламентирующих вопросы обработки и защиты персональных данных;

  • ознакомление работников ООО «Центра Развития Цифровых Платформ», непосредственно осуществляющих обработку персональных данных, под роспись с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, нормативными актами Общества, регламентирующими вопросы обработки и защиты персональных данных, а также с ответственностью за разглашение персональных данных, нарушение порядка обращения с документами, содержащими такие данные, и иные неправомерные действия в отношении персональных данных;

  • создание системы внутреннего контроля соответствия обработки персональных данных законодательству Российской Федерации, в том числе требованиям к защите персональных данных;

  • определение угроз безопасности ПДн при их обработке в информационных системах персональных данных;

  • применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;

  • применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

  • оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;

  • учет машинных носителей ПДн;

  • обнаружение фактов несанкционированного доступа к ПДн и принятие мер;

  • восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

  • установление правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в информационной системе ПДн;

  • контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности информационных систем ПДн.

7 Права субъекта персональных данных и обязанности Оператора

7.1 Субъект персональных данных имеет право на:

  • получение информации, касающейся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами, в том числе по основаниям, установленным ч. 8 ст. 14 Закона;

  • обжалование действий или бездействия Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований Закона или иным образом нарушает его права и свободы;

  • защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

  • требование от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также уведомления о внесенных изменениях и предпринятых мерах третьих лиц, которым персональные данные, относящиеся к соответствующему субъекту, были переданы;

  • отзыв своего согласия на обработку персональных данных в соответствии со ст.9 Закона (в случаях, когда обработка Обществом персональных данных осуществляется на основании согласия субъекта персональных данных).

7.2 Информация, касающаяся обработки персональных данных, предоставляется субъекту персональных данных или его представителю в доступной форме при обращении в ООО «Центра Развития Цифровых Платформ» или при получении ООО «Центром Развития Цифровых Платформ» запроса субъекта персональных данных или его представителя. Указанный запрос должен быть оформлен в соответствии с требованиями ч. 3 ст. 14 Закона и может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

7.3 Общество обязано сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, предоставить безвозмездно возможность ознакомления с такими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя, а также, в установленных Федеральным законом случаях, порядке и сроки, устранить нарушения законодательства Российской Федерации, допущенные при обработке персональных данных, уточнить, блокировать или уничтожить персональные данные соответствующего субъекта персональных данных.

7.4 Общество обязано уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

 

У вас остались вопросы?
Узнайте больше в разделе
«Вопросы и ответы»

Читать раздел