Москва, ул. Братиславская 16K1
+7 495 740 4333
Политика в отношении обработки и защиты персональных данных посетителей сайта ООО «Юр-ГСС»
1. Общие положения
1.1 Цель Политики в отношении обработки и защиты персональных данных (далее – Политика)– определение особенностей, правил обработки и защиты персональных данных субъектов персональных данных, предпринимаемых в Обществе с ограниченной ответственностью «Юр-ГСС» (далее – ООО «Юр-ГСС», Оператор), при использовании интернет-сайта Оператора в сети «Интернет»: http://www.iti-group.ru/ (далее – Сайт Оператора).
1.2 Во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети «Интернет» на Сайте Оператора.
1.3 Настоящая Политика вступает в силу с момента утверждения Общим собранием участников ООО «Юр-ГСС» и действует бессрочно до замены ее новой Политикой.
1.4 Все изменения в настоящей Политике вносятся решением Общего собрания участников.
1.5 Действующая редакция Политики на бумажном носителе хранится в месте нахождения исполнительного органа Общества по адресу: 109451, Москва, ул. Братиславская, дом 16, корпус 1, эт. 2, пом. I, ком. 18.
2. Понятия, термины и определения, используемые в документе
2.1 Персональные данные (далее – ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому Пользователю веб-сайта https://iti-group.ru..
2.2 Персональные данные, разрешенные субъектом персональных данных для распространения — ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном Законом о персональных данных (далее — ПДн, разрешенные для распространения).
2.3 Пользователь – любой посетитель веб-сайта https://iti-group.ru.
2.4 Оператор – ООО «Юр-ГСС» самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПДн, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.5 Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.6 Автоматизированная обработка ПДн – обработка персональных данных с помощью средств вычислительной техники.
2.7 Распространение ПДн – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.8 Предоставление ПДн – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.9 Блокирование ПДн – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.10 Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.11 Обезличивание ПДн – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.12 Информационная система ПДн (далее – ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.13 Конфиденциальность ПДн – обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта ПДн или иного законного основания.
2.14 Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://iti-group.ru.
3. Цели сбора и обработки ПДн
3.1. Обработка ПДн должна осуществляться на законной и справедливой основе.
3.2 Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора персональных данных.
3.3 Цели обработки ПДн:
3.3.1 осуществление прямых контактов с субъектом ПДн (потенциальным потребителем) с помощью средств связи и установления обратной связи для целей оказания услуг;
3.3.2 информирование субъекта ПДн о новых услугах (подписка на рассылку новостных и рекламных материалов);
3.3.3 повышение уровня сервиса.
3.4 Установленные цели обработки ПДн являются законными. Обработка ПДн в иных целях не допускается.
4. Правовая основа настоящей Политики:
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
- Федеральный закон от 30.12.2015 г. № 439-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».
- Федеральный закон от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».
- Постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
- Приказ ФСБ России от 09 февраля 2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации. (Положение ПКЗ 2005)».
- Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных».
- Приказ Роскомнадзора от 30 мая 2017 г. № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».
- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утверждены 8 Центром ФСБ России от 21 февраля 2008 г. № 149/54-144).
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены 8 Центром ФСБ России от 21 февраля 2008 г. № 149/6/6-622).
5. Объем и категории, обрабатываемых ПДн, категории субъектов ПДн
5.1 Субъектами обработки ПДн Оператора являются посетители Сайта Оператора.
5.2 Персональные данные субъектов ПДн включают:
5.2.1 Фамилия, имя, отчество.
5.2.2 Электронный адрес.
5.2.3 Номера телефонов.
5.3 Оператор осуществляет сбор и обработку обезличенных данных о посетителях сайта Оператора (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика, Гугл Аналитика и других сервисов).
5.4 Вышеперечисленные данные объединены общим понятием Персональные данные.
5.5 Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.
6. Порядок и условия обработки ПДн
6.1 В ООО «Юр-ГСС» в соответствии с Приказом ФСТЭК России, ФСБ России и Минсвязи России от 13 февраля 2008 г. №55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» осуществлена классификация ИСПДн.
6.2 Комиссией составлены Акты классификации ИСПДн, обрабатываемых с использованием средств автоматизации, в которых определены актуальные угрозы 3-го типа, объём обрабатываемых ПДн — менее 100 000 и по результатам анализа исходных данных информационных систем определён необходимый – 3-й уровень защищённости ПДн.
6.3 Для разработки требований по обеспечению безопасности и внедрения системы обеспечения безопасности ПДн в ООО «Юр-ГСС» разработана типовая модель угроз на основе нормативно-методического документа ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
6.4 В ООО «Юр-ГСС» в соответствии с нормативно-методическим документом ФСТЭК России «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» разработан и внедрен комплекс мер по защите и обеспечению безопасности ПДн. Обработка ПДн осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
6.5 При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
6.6 Обработка ПДн осуществляется с согласия субъектов ПДн на обработку их ПДн,.
6.7 Оператор осуществляет автоматизированную обработку ПДн.
6.8 К обработке ПДн допускаются работники Оператора, в должностные обязанности которых входит обработка ПДн.
6.9 Обработка ПДн осуществляется путем:
6.9.1 Получения ПДн письменной форме непосредственно от субъектов ПДн;
6.9.2 Внесения ПДн в журналы, реестры и информационные системы Оператора;
6.10 Не допускается раскрытие третьим лицам и распространение ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством РФ. Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн.
6.11 При сборе ПДн через информационно-телекоммуникационную сеть Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных законодательством РФ.
7. Основные права и обязанности Субъекта ПДн.
7.1 Субъект ПДн имеет право:
7.1.1 Получать информацию, касающуюся обработки его ПДн, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту ПДн Оператором в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких ПДн. Перечень информации и порядок ее получения установлен Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
7.1.2 Требовать от оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством меры по защите своих прав.
7.1.3 Обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его ПДн.
7.2 Субъект персональных данных обязан:
7.2.1 Предоставлять Оператору достоверные данные о себе;
7.2.2 Сообщать Оператору об уточнении (обновлении, изменении) своих ПДн.
8. Права и обязанности Оператора ПДн:
8.1 Оператор имеет право:
8.1.1 Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством РФ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством РФ.
8.1.2 Поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
8.1.3 В случае отзыва субъектом ПДн согласия на обработку ПДн Оператор вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в Федеральном законе от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
8.2 Оператор ПДн обязан:
8.2.1 Уведомить уполномоченный орган по защите прав субъектов ПДн о своём намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных законодательством РФ.
8.2.2 Организовывать обработку персональных данных в соответствии с требованиями законодательства РФ;
8.2.3 Отвечать на обращения и запросы субъектов ПДн и их законных представителей в соответствии с требованиями законодательства РФ;
8.2.4 В течение 10 рабочих дней с момента обращения субъекта ПДн или получения запроса Роскомнадзора:
- предоставить субъекту ПДн информацию, касающуюся обработки его персональных данных;
- предоставить возможность субъекту ознакомиться с его ПДн, находящимися у оператора, либо дать письменный отказ в предоставлении такой информации;
- предоставить в Роскомнадзор запрошенные этим органом сведения;
- прекратить обработку ПДн по требованию субъекта ПДн.
9. Места хранения документов, содержащих ПДн
9.1 ПДн, полученные через форму обращения на сайте Оператора, хранятся на материальном носителе в офисе Оператора в соответствии с правилами, установленными Законодательством Российской Федерации.
9.2 Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не определён федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
10. Уничтожение, блокирование и уточнение ПДн
10.1 Уничтожение или обезличивание части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки других данных, зафиксированных на этом носителе (удаление, вымарывание).
10.2 Уточнение ПДн при обработке без использования средств автоматизации производится путём обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя – путём фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путём изготовления нового материального носителя с уточнёнными ПДн.
11. Заключительные положения
11.1 Все отношения, касающиеся обработки ПДн, не получившие отражения в настоящей Политике, регулируются согласно положениям законодательства РФ.