1. ОПРЕДЕЛЕНИЯ, ТЕРМИНЫ И СОКРАЩЕНИЯ

Когда в тексте документа в зависимости от контекста и предложения говорится о юридическом лице — Обществе с ограниченной ответственностью “Техаудит Би Ай” используются следующие слова: мы, наш, Техаудит Би Ай, Компания, Продавец и Исполнитель, а когда в тексте документа в зависимости от контекста и предложения говорится о физических лицах, посетителях сайта и пользователях (наших клиентах) нашего сайта в информационно-телекоммуникационной сети интернет по адресам суперсет.рус, суперсет.рф (включая все уровни указанного домена, которые как функционируют на дату принятия настоящего положения, так и запускаемые и вводимые в эксплуатацию в течение срока его действия) как владельцев (администраторов), используются следующие слова: вы, вам, Работник, Контрагент, Соискатель, Покупатель, Клиент, Заказчик и Пользователь.

Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в системах хранения персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Конфиденциальность персональных данных - обязанность Лица, имеющего доступ к Персональным данным или Лица, осуществляющего обработку персональных данных, не раскрывать их третьим лицам и не допускать их распространения без согласия Субъекта персональных данных или наличия иного законного основания.

Представитель контрагента (партнера) компании - Субъект персональных данных, который действует от собственного имени, от имени и (или) по поручению нашего контрагента (потенциального контрагента) в целях установления деловых, партнёрских и (или) иных отношений с нами.

Сайт - сайты в информационно-телекоммуникационной сети интернет по адресам: суперсет.рус и суперсет.рф (включая все уровни указанного домена, которые как функционируют на дату принятия настоящего Положения, так и запускаемые и вводимые в эксплуатацию в течение срока его действия). Сайты Техаудит Би Ай выражены в объективной форме, которая представляет собой совокупность данных и команд, предназначенных для взаимодействия Техаудит Би Ай и Субъектов персональных данных в целях информационного взаимодействия, включая, но не ограничиваясь: в целях установления деловых и партнёрских отношений, в целях трудоустройства.

Соискатель на замещение вакантной должности (Соискатель вакантной должности) - Субъект персональных данных, который предоставляет Техаудит Би Ай Персональные данные с целью трудоустройства.

Контрагент (Партнер, КА) - лицо, которое на основании договора, заключенного им с нами, обязуется от своего имени и под свою ответственность совершить юридически значимые и иные действия, направленные на подготовку одного или нескольких пользователей к работе в Сервисах по договору.

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ, не определенные специально в настоящем документе, употребляются для целей применения настоящего Соглашения с учетом их общепринятого употребления любым участником гражданского оборота, действующим разумно и добросовестно (пункт 5 статьи 10 Гражданского кодекса Российской Федерации) и таким образом, чтобы не позволить какой-либо стороне настоящего Соглашения извлекать преимущество из ее незаконного или недобросовестного поведения (пункт 4 статьи 1 Гражданского кодекса Российской Федерации).

2. ИНФОРМАЦИЯ О ДОКУМЕНТЕ

Цель документа - защита прав и законных интересов субъектов персональных данных.
Выполнение Техаудит Би Ай требований законодательства в области персональных данных.

Краткое описание документа - политика “Обработка персональных данных” Техаудит Би Ай (далее – Политика) определяет принципы, порядок и условия обработки персональных данных Клиентов, работников Техаудит Би Ай и иных лиц, чьи персональные данные обрабатываются Техаудит Би Ай, а также лицами по поручению Техаудит Би Ай.

Ограничение доступа - для неограниченного доступа.

Периодичность пересмотра - в любой момент.

Ответственные - все подразделения и должностные лица Тех Аудит Би Ай, имеющие доступ к персональным данным.

3. ОБЩИЕ ПОЛОЖЕНИЯ


3.1. Техаудит Би Ай в соответствии с Политикой, прежде всего, преследует своей целью обеспечение защиты прав и свобод субъектов ПДн при обработке их ПДн, в том числе, защиту прав на неприкосновенность частной жизни, личную и семейную тайну, в том числе с использованием средств автоматизации в информационно-коммуникационной сети Интернет или (и) путём совместного использования средств автоматизации и без использования средств автоматизации, а также для:
3.1.1. Упорядочения процесса Обработки ПДн, их защиты от неправомерных действий с ними и от их утраты;
3.1.2. Информирования Субъекта персональных данных о процессе Обработки персональных данных при взаимодействии с Техаудит Би Ай.
3.2. Настоящая Политика разработана в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту – Закон № 152-ФЗ), а также иными подзаконными нормативно-правовыми актами в сфере персональных данных.
3.3. Положения Политики действуют в отношении всех ПДн, обрабатываемых нами, и являются основой для организации работы по обработке ПДн в Техаудит Би Ай, в том числе, для разработки иных внутренних нормативных документов, регламентирующих процесс обработки персональных данных в Техаудит Би Ай. Политика распространяет свое действие на обрабатываемые нами ПДн, которые были получены как до, так и после ввода в действие настоящей Политики. Порядок обработки ПДн в Техаудит Би Ай регулируется настоящей Политикой в соответствии с требованиями действующего законодательства Российской Федерации в области ПДн и отраслевого законодательства Российской Федерации, если в нем установлен порядок обработки ПДн.
3.4. Настоящая Политика распространяется на все процессы Техаудит Би Ай, связанные с обработкой ПДн субъектов, и обязательна для применения всеми работниками Техаудит Би Ай, осуществляющими обработку ПДн в силу своих должностных обязанностей.
3.5. В соответствии с пунктом 2 части 2 статьи 1 Закона № 152-ФЗ обращение с документами, переданными на хранение в соответствии с законодательством об архивном деле в Российской Федерации, не регулируется настоящей Политикой.
3.6. Во всех случаях, не урегулированных настоящей Политикой, необходимо руководствоваться действующим законодательством Российской Федерации.

4. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обработка ПДн в Техаудит Би Ай осуществляется на основе следующих принципов:

• обработка ПДн осуществляется на законной и справедливой основе (а также исходя из принципов морали и нравственности);
• только при наличии согласия (прямое волеизъявление; согласие, выраженное конклюдентными действиями и т. д.) Субъекта персональных данных на Обработку персональных данных;
• обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн;
• не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только ПДн, которые отвечают целям их обработки;
• содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки;
• при обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Техаудит Би Ай принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
• хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн;
• обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5. ПОНЯТИЕ, СОСТАВ И КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. В рамках настоящей Политики под персональными данными понимается любая информация, относящиеся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). ПДн являются информацией ограниченного доступа (конфиденциального характера) в соответствии с законодательством РФ. ПДн могут обрабатываться самостоятельно или в составе другой информации конфиденциального характера, порядок обработки которой устанавливается отраслевыми федеральными законами, в частности, о коммерческой тайне (коммерческая тайна), о связи (сведения об абоненте и тайна связи), о банках (банковская тайна), об архивном деле и другими.
5.2. Техаудит Би Ай в рамках своей деятельности вправе осуществлять обработку специальных категорий ПДн только в случаях, прямо предусмотренных действующим законодательством Российской Федерации в сфере ПДн и (или) при наличии иных правовых оснований. Техаудит Би Ай также вправе осуществлять обработку сведений о судимости только в случаях, прямо предусмотренных действующим законодательством Российской Федерации.
5.3. Техаудит Би Ай в рамках своей деятельности вправе осуществлять обработку биометрических ПДн для установления личности субъекта ПДн, только при наличии его письменного согласия. Форма и порядок получения письменного согласия должны соответствовать требованиям части 4 статьи 9 Закона № 152-ФЗ.
5.4. Техаудит Би Ай в рамках своей деятельности осуществляет обработку ПДн следующих категорий субъектов персональных данных:

• действующие работники;
• уволенные работники;
• близкие родственники работников;
• практиканты;
• кандидаты на замещение вакантных должностей;
• физические лица и работники (представители) юридических лиц, являющиеся контрагентами для нас;
• пользователей Сайта;
• физические лица, с которыми заключены договоры гражданско-правового характера;
• физические лица (представители юридических лиц), обратившиеся к нам по различным вопросам;
• акционеры/участники Техаудит Би Ай;
• благополучатели.

5.5. Посетитель Сайта предоставляет нам по своему желанию следующие ПДн:

• Фамилия, имя, отчество;
• Номера телефонов (мобильного и домашнего) в случае их регистрации на указанного Субъекта персональных данных или по адресу его регистрации;
• Иные сведения, с которыми Субъект персональных данных считает нужным ознакомить Техаудит Би Ай.

5.5.1. Соискатель вакантной должности предоставляет по своему желанию следующие Персональные данные:

• Фамилия, имя, отчество;
• День, месяц, год и место рождения;
• Номера телефонов (мобильного или домашнего) в случае их регистрации на Субъекта персональных данных или по адресу его регистрации;
• Информация об образовании;
• Информация об опыте работы;
• Иные сведения, с которыми Субъект персональных данных считает нужным ознакомить Техаудит Би Ай.

5.5.2. Третьи лица предоставляет по своему желанию следующие Персональные данные:

• Фамилия, имя, отчество;
• Адрес электронной почты;
• Номера телефонов (мобильного или рабочего);
• Информация о занимаемой должности в компании контрагента;
• Иные сведения, с которыми Субъект персональных данных считает нужным ознакомить Техаудит Би Ай.

5.5.3. Работник предоставляет следующие ПДн:

• Фамилия, имя, отчество;
• Адрес проживания (регистрации);
• День, месяц, год и место рождения;
• Паспортные данные;
• Информация о гражданстве;
• Номер ИНН;
• Номер СНИЛС;
• Адрес электронной личной почты;
• Информация об образовании;
• Информация об опыте работы;
• Информация о семейном положении, информация о наличии детей;
• Информация о судимости;
• Деловые и иные личные качества.

5.6. Персональные данные в объёме, указанном в п.п. 5.5.1–5.5.3., предоставляются непосредственно Субъектом персональных данных. В случае если Персональные данные передаются третьим лицом, то Техаудит Би Ай имеет право запросить у третьего лица информацию о том, на каком основании передаются ПДн.
5.6.1. Персональные данные, указанные в п.п. 5.5.1–5.5.3., признаются достоверными до тех пор, пока их достоверность не будет опровергнута любым законным способом. Если Информация, предоставленная Субъектом персональных данных, не позволяет установить прямо или косвенно лицо, а равно Субъекта персональных данных, то указанное Положение не применяется.
5.7. Сайт компании использует следующие cookie-файлы:
5.7.1. необходимые cookie-файлы (necessary cookies): направлены на удобное использование Сайта компании и позволяют реализовывать основные функции Сайта компании, такие как навигация по страницам и доступ к защищённым разделам Сайта компании. Сайт компании не может нормально функционировать без указанных cookie-файлов. Необходимые cookie-файлы собирают Информацию в объёме, не позволяющем классифицировать указанную Информацию в качестве Персональных данных. Указанные cookie-файлы являются обязательными и не могут быть отключены Посетителем сайта;
5.7.2. маркетинговые cookie-файлы (marketing cookies): отслеживают перемещение Посетителя сайта по Сайту компании и позволяют Сайту компании показывать релевантные страницы Сайта компании Посетителю сайта;
5.7.3. статистические cookie-файлы (statistics cookies): помогают Компании понять, как Посетители сайта взаимодействуют c ним. Статистические cookie-файлы собирают и сообщают информацию о поведении на Сайте компании.
5.7.4. Сайт компании использует сторонние сервисы для оценки посещаемости Сайта компании и анализа поведения Посетителей сайта, а именно Google Analitics и Яндекс.Метрика.
5.8. Посетители сайта имеют возможность отключить cookie-файлы, указанные в п. п. 5.7.1.-5.7.3.

6. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Цели Обработки персональных данных по правилам Положения различаются в зависимости от вида Субъекта персональных данных, указанного в п. 5.4. Положения.
6.1.1. Обработка персональных данных Представителей контрагентов Техаудит Би Ай осуществляется в целях:

• Установления деловых, партнёрских и (или) иных отношений между Техаудит Би Ай и контрагентом, в том числе оказания услуг как со стороны Техаудит Би Ай, так и со стороны контрагента Техаудит Би Ай; и (или)
• Поддержания деловых, партнёрских и (или) иных отношений между Техаудит Би Ай и контрагентом, в том числе оказания услуг как со стороны Техаудит Би Ай, так и со стороны контрагента Техаудит Би Ай; и (или)
• Информационного обмена в процессе взаимодействия между Техаудит Би Ай и Представителем контрагента компании; и(или)
• Привлечения внимания к услугам Техаудит Би Ай, в том числе путём направления информационных сообщений; и (или)
• Получения отзывов, вопросов, запросов, претензий и рекомендаций в отношении услуг Техаудит Би Ай.

6.1.2. Обработка персональных данных Посетителей сайта осуществляется в целях:

• Установления деловых, партнёрских и (или) иных отношений между Посетителем сайта и Техаудит Би Ай; и (или)
• Поддержания деловых, партнёрских и (или) иных отношений между Посетителем сайта и Техаудит Би Ай; и (или)
• Информационного обмена в процессе взаимодействия между Техаудит Би Ай и Посетителем сайта компании; и(или)
• Привлечения внимания к услугам Техаудит Би Ай, в том числе путём направления информационных сообщений; и(или)
• Получения отзывов, вопросов, запросов, претензий и рекомендаций в отношении услуг Техаудит Би Ай.

6.1.3. Обработка персональных данных Соискателя на замещение вакантной должности осуществляется в целях:

• Установления соответствия информации о Соискателе на замещение вакантной должности квалификационным требованиям вакантной должности, заявленными Техаудит Би Ай; и (или)
• Рассмотрения вопроса о трудоустройстве Соискателя на замещение вакантной должности, а равно о заключении трудового договора с Соискателем на замещение вакантной должности.

6.1.4. Обработка персональных данных Работника осуществляется в целях:

• Исполнения обязанностей Техаудит Би Ай по трудовому договору с Работником, в том числе оплата труда, а также исполнения обязанностей, установленных действующим законодательством России, в том числе исполнение обязанности налогового агента Работника;
• Содействия в трудоустройстве;
• Продвижения по службе;
• Обучения Работника;
• Направления Работника в служебные командировки;
• Направления Работника на мероприятия (семинары, встречи), которые прямо или косвенно относятся к видам услуг, оказываемых Техаудит Би Ай;
• Обеспечения личной безопасности Работника;
• Контроля количества и качества выполняемой работы;
• Обеспечения сохранности имущества.

7. СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Обработка персональных данных допускается только при наличии на то согласия Субъекта персональных данных (далее – Согласие). Согласие даётся Субъектом персональных свободно, своей волей и в своём интересе. Оно должно быть конкретным, информированным и сознательным и совершено в любой позволяющей подтвердить факт его получения форме, включая:

• Письменную форму на бумажном носителе,
• Устно (или путём совершения конклюдентных действий) или
• Письменную форму в виде электронного документа, или
• Проставления отметки в соответствующей строке на Сайте компании (приравнивается к письменной форме).

7.2. Если Согласие было получено Компанией до введения в действие настоящего Положения, то оно считается действительным.
7.3. Компания осуществляет Обработку персональных данных с учётом требований к форме Согласия по каждой категории Персональных данных, установленных Законом о персональных данных.
7.4. В случае получения Согласия от третьего лица (представителя Субъекта персональных данных) мы обязаны проверить полномочия данного представителя на дачу такого Согласия если ей станет очевиден факт, что Согласие получено от третьего лица.
7.5. Субъект персональных данных вправе в любой момент отозвать своё Согласие, сообщив об этом Компании в письменной форме:
7.5.1. В случае использования электронной почты Субъект персональных данных обязан направить заявление об отзыве своего Согласия с адреса электронной почты, который принадлежит Субъекту персональных данных. В случае использования адреса электронной почты, который не принадлежит Субъекту персональных данных или о которой Компании достоверно не известно, что она принадлежит Субъекту персональных данных, Субъект персональных данных обязан направить сканированное требование об отзыве Согласия с подписью Субъекта персональных данных.
7.5.2. В случае подачи заявления об отзыве своего Согласия через третье лицо, третье лицо должно представить доверенность или иной документ, подтверждающий полномочия третьего лица по подаче заявления об отзыве Согласия Субъекта персональных данных.
7.6. Лица, имеющие доступ к Персональным данным, обязаны удостовериться в получении Согласия на Обработку персональных данных при взаимодействии с Субъектами персональных данных. Принимая во внимание особенности работы с Субъектами персональных данных, Лицам, имеющим доступ к персональных данным, рекомендуется:
7.6.1. При получении Персональных данных Представителей контрагентов от третьих лиц удостовериться, что у таких третьих лиц имеется Согласие, в том числе для передачи этих данных в адрес Техаудит Би Ай;
7.6.2. В случае если третьи лица, предоставившие Техаудит Би Ай Персональные данные Представителей контрагентов, уклоняются от передачи полученного ими Согласия, либо если такое Согласие не предполагает передачу Персональных данных Представителей контрагентов в адрес Техаудит Би Ай, либо если такое Согласие третьими лицами получено не было, Техаудит Би Ай обязана самостоятельно получить у таких Представителей контрагентов Согласие до начала Обработки персональных данных;
7.7. Согласие предполагает разрешение, а в целом согласие Субъекта персональных данных на получение от Техаудит Би Ай информационных или рекламных писем Техаудит Би Ай по электронной почте. В любой момент Субъект персональных данных имеет право отказаться от получения указанных писем, а равно отозвать своё Согласие.
7.8. Сайт компании предусматривает возможность направления Субъектами персональных данных отзывов, вопросов, запросов, претензий и рекомендаций в отношении услуг Техаудит Би Ай через форму обратной связи, предполагающей предоставление указанными Субъектами своих Персональных данных Техаудит Би Ай.
7.9. С целью получения Согласия Субъектов персональных данных форма для обратной связи, размещённая на Сайте компании, содержит ссылку на Положение для ознакомления с ним, а также отдельную строку, в которой Субъект персональных данных должен проставить отметку о даче своего Согласия. Проставление указанной отметки означает, что Субъект персональных данных даёт своё Согласие на Обработку персональных данных в целях и всеми способами, предусмотренными Положения.
7.10. Отказ Субъекта персональных данных от проставления указанной отметки означает, что Компания не вправе обрабатывать его Персональные данные, а подготовленное им с использованием формы для обратной связи сообщение в адрес Компании не будет сохранено и передано Техаудит Би Ай.
7.11. В случае если Субъект персональных данных сделал свои Персональные данные общедоступными (Общедоступные персональные данные) путём размещения Персональных данных в Интернете, в том числе на сайте для поиска работы, то получение Техаудит Би Ай Согласия не требуется.

8. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Субъект персональных данных имеет право на:
8.1.1. Обращение к Техаудит Би Ай самостоятельно или через третье лицо (уполномоченного представителя) с запросом и бесплатное получение на его основании полной информации, касающейся перечня и условий Обработки Техаудит Би Ай его Персональных данных, не чаще чем раз в месяц.
Указанный в настоящем пункте запрос должен содержать:

• Информацию, позволяющую установить личность Субъекта персональных данных или его представителя (паспортные данные Субъекта персональных данных);
• Сведения, подтверждающие участие Субъекта персональных данных в отношениях с Техаудит Би Ай (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом указывающие на факт Обработки персональных данных Оператором, подпись Субъекта персональных данных или его представителя.

8.1.1.1. Данные, которые передаются в рамках указанного запроса, хранятся 1 (один) месяц в целях контроля количества запросов по предмету, установленному в настоящем пункте, и уничтожаются по истечении 1 (одного) месяца.
8.1.1.2. В случае если Оператор персональных данных в течение 3 (трёх) рабочих дней после получения указанного запроса установит, что данные, указанные в запросе, не являются достоверными, в том числе не позволяют установить факт Обработки Оператором Персональных данных, указанных в запросе, Оператор уничтожает данные, поступившие к нему в рамках запроса, и уведомляет лицо, обратившееся к нему за информацией, указанной в настоящем пункте, о невозможности установить наличие отношений по Обработке персональных данных между Оператором и Субъектом персональных данных.
8.1.1.3. Ответ по запросу о полной информации, касающейся перечня и условий Обработки персональных данных и/или уведомление о невозможности установить наличие отношений по Обработке персональных данных между Оператором и Субъектом персональных данных, направляется при помощи того средства связи, с помощью которого был отправлен запрос в Техаудит Би Ай.
8.1.2. Требовать от Компании уточнения, блокировки и уничтожения его Персональных данных, которые являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели Обработки персональных данных;
8.1.3. Требовать от Компании извещения всех лиц, которым ранее были сообщены неполные, устаревшие или неточные Персональные данные, обо всех произведённых в них уточнениях, если такие действия затрагивают исполнения сделок, обязанностей по законодательству России;
8.1.4. Применительно к Персональным данным оценочного характера, если их уточнение, блокировка или уничтожение невозможны, Субъект персональных данных имеет право дополнить их заявлением, выражающим его собственную оценку этих данных.
8.2. Субъект персональных данных обязан:
8.2.1. Предоставлять Компании достоверные Персональные данные;
8.2.2. По мере изменения ПДн сообщать Компании об изменении (уточнять и дополнять) своих Персональных данных если они необходимы для исполнения Компанией своих обязательств;
8.2.3. Если Субъект персональных данных нарушит положения пунктов 7.2.1. и 7.2.2., то Оператор персональных данных имеет право потребовать возмещение убытков, причинённых действиями (бездействиями) Субъекта персональных данных.

9. ПРАВА И ОБЯЗАННОСТИ КОМПАНИИ

9.1. Компания обязана:
9.1.1. Ознакомить Субъекта персональных данных с настоящим Положением путём неограниченного доступа к настоящему Положению: размещение на Сайте компании и в офисе Компании по адресу её регистрации;
9.1.2. Обрабатывать Персональные данные только при наличии на то Согласия Субъекта персональных данных, которое может быть предоставлено, в том числе в письменной форме, в электронной форме;
9.1.3. При получении от Субъекта персональных данных отзыва его Согласия Компания обязана прекратить Обработку его Персональных данных и (или), если их сохранение более не требуется для целей Обработки, – уничтожить эти Персональные данные в течение 30 (тридцати) дней с момента получения такого отзыва;
9.1.4. Разъяснить Субъекту персональных данных юридические последствия его отказа от дачи Согласия, когда Обработка его персональных данных является обязательной в силу требований законодательства России;
9.1.5. Все Персональные данные Компания обязана получать лично у Субъекта персональных данных или от уполномоченного представителя Субъекта персональных данных. Если это невозможно, то Персональные данные могут быть получены у третьей стороны − о чём Компания обязана уведомить Субъекта этих персональных данных заранее и получить у него на это письменное Согласие;
9.1.6. Компания не имеет права осуществлять Обработку о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, биометрические Персональные данные, данные о состоянии здоровья, интимной жизни Субъекта персональных данных за исключением случаев, установленных настоящим Положением, и случаев, когда Обработка таких Персональных данных необходима для достижения цели такой Обработки;
9.1.7. При принятии решений, затрагивающих интересы Субъекта персональных данных, Компания не имеет права основываться на его Персональных данных, полученных исключительно в результате их Автоматизированной обработки. В любом случае результат Автоматизированной обработки должен быть проверен лицом, в чью компетенцию входит принятие решения по конкретному Субъекту персональных данных;
9.1.8. Обеспечить Субъекту персональных данных непосредственно в момент обращения или в течение 30 (тридцати) дней с момента получения от него письменного запроса свободный и бесплатный доступ для ознакомления со всеми его Персональными данными вне зависимости от места их хранения или этапа Обработки;
9.1.9. При сборе Персональных данных Субъектов персональных данных, являющихся гражданами России, обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение Персональных данных с использованием баз данных, находящихся на территории России;
9.1.10. Компания вправе передавать Персональные данные на территорию иностранного государства (трансграничная передача), только если на территории этого государства обеспечивается адекватная защита прав Субъектов персональных данных;
9.1.11. Компания вправе передавать Персональные данные на территорию иностранных государств, в которых не обеспечивается адекватная защита Персональных данных, только при наличии Согласия на то Субъекта персональных данных;
9.1.12. При получении от Субъекта персональных данных сведений, которые подтверждают, что ранее предоставленные Компании Персональные данные являются неполными, неактуальными или незаконно полученными Компания в течение 7 (семи) рабочих дней вносит в эти Персональные данные изменения, а в случае незаконного получения – уничтожает их и незамедлительно информирует об этом Субъекта персональных данных и третьих лиц, которым были переданы Персональные данные этого Субъекта;
9.1.13. При выявлении Компанией или самим Субъектом персональных данных неточных Персональных данных Компания обязана незамедлительно блокировать их Обработку и запросить у Субъекта персональных данных уточнение по этому вопросу. При получении уточнений Компания обязана в течение 7 (семи) рабочих дней внести в эти Персональные данные уточнения и снять блокировку;
9.1.14. При выявлении Компанией или самим Субъектом персональных данных неправомерной Обработки Компанией его Персональных данных Компания обязана незамедлительно блокировать их Обработку и в течение 3 (трёх) рабочих дней прекратить их Обработку либо, когда такое прекращение Обработки невозможно, уничтожить эти Персональные данные и незамедлительно проинформировать об этом Субъекта персональных данных;
9.1.15. Не позднее 30 (тридцати) дней с момента достижения целей Обработки персональных данных Компания обязана прекратить их Обработку и уничтожить их;
9.1.16. Контролировать деятельность Лица, осуществляющего обработку персональных данных, с учётом требований Закона о персональных данных, гражданско-правовой сделки. В случае нарушения обязательств Лица, осуществляющего обработку персональных данных, Компания с момента обнаружения такого нарушения обязана направить требование о прекращении неправомерных действий в отношении Персональных данных и сообщить Субъектам персональных данных о таком нарушении.
9.1.17. При заключении сделки с Лицом, осуществляющим обработку персональных данных, установить обязательство по сохранению Конфиденциальности персональных данных, а равно о порядке Обработки персональных данных, и установить ответственность в случае нарушения указанной обязанности Лицом, осуществляющим обработку персональных данных. Рекомендуется заключить соглашение об обязательстве о неразглашении персональных данных по форме, установленной в Приложении № 5 к настоящему Положению.
9.2. Компания имеет право:
9.2.1. На Обработку с учетом требований Закона о персональных данных в соответствии с целями заявленной Обработки;
9.2.2. Требовать предоставления Персональных данных в объёме, необходимой для цели Обработки. В случае отказа Субъекта персональных данных от предоставления Персональных данных Компания имеет право отказать в оказании услуги, предоставлении информации, заключении сделки и т. п.;
9.2.3. Передать Персональные данные Лицу, осуществляющего обработку персональных данных, в том числе в целях исполнения обязательства перед Субъектом персональных данных;
9.2.4. Определять список Лиц, которые имеют доступ к персональным данным, исходя из целесообразности и разумности.

10. ЛИЦО, ОТВЕТСТВЕННОЕ ЗА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. С целью обеспечения выполнения Компанией обязанностей, предусмотренных настоящим Положением и российским законодательством в области персональных данных, Генеральный директор Компании назначает лицо, ответственное за Обработку и хранение Персональных данных (далее – Ответственное лицо).
10.2. Ответственное лицо получает указания непосредственно от Генерального директора Компании и подотчётно исключительно ему.
10.3. Ответственное лицо выполняет, среди прочего, нижеследующие функции:
10.3.1. Осуществляет внутренний контроль над соблюдением Компанией и Работниками законодательства России о персональных данных, в том числе требований к защите персональных данных;
10.3.2. Осуществляет контроль и несёт дисциплинарную ответственность за Обработку персональных данных в соответствии с требованиями, установленными настоящим Положением и российским законодательством о персональных данных;
10.3.3. Ведёт журнал доступа и осуществляет контроль доступа к системам документального хранения и Информационным системам, содержащим Персональные данные, только теми Лицами, которые имеют доступ к персональным данным;
10.3.4. Осуществляет методическое руководство Лицами, имеющими доступ к персональным данным, в вопросах обеспечения безопасности Персональных данных, в том числе в форме инструктажа, отметки о проведении которого проставляются в соответствующем журнале;
10.3.5. Доводит до сведения Субъектов персональных данных содержание настоящего Положения и российского законодательства о персональных данных;
10.3.6. Организовывает приём и обработку обращений и запросов Субъектов персональных данных или их представителей и осуществляет контроль за приёмом и обработкой таких обращений и запросов;
10.3.7. Организует безопасное хранение Персональных данных на бумажных носителях;
10.3.8. Организует защиту Информационных систем персональных данных, своевременное выявление и устранение угроз в работе этих Информационных систем, а также не реже 1 (одного) раза в течение календарного года проводит анализ состояния защиты Информационных систем на предмет соответствия требованиям настоящего Положения и российского законодательства;
10.3.9. При организации защиты Информационных систем персональных данных обеспечивает использование средств защиты информации, прошедших процедуру оценки соответствия требованиям российского законодательства в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз этим Информационным системам;
10.3.10. Организует контроль и контролирует физическую сохранность средств и оборудования Информационных систем персональных данных, а также бумажных носителей персональных данных;
10.3.11. Контролирует соблюдение пользователями Информационных систем персональных данных введённого режима безопасности и парольной политики;
10.3.12. Осуществляет контроль над выполнением иных мер по обеспечению безопасности Персональных данных при их обработке, в том числе порядок восстановления Персональных данных.
10.4. Ответственное лицо несёт ответственность за реализацию необходимого и достаточного уровня защиты Персональных данных и выполнение Компанией и Работниками мер по защите Персональных данных.
10.5. Требования Ответственного лица, связанные с выполнением своих должностных обязанностей, обязательны для исполнения всеми Лицами, имеющими доступ к персональным данным.

11. СПОСОБЫ И ОБЩИЕ ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Компания обрабатывает Персональные данные следующими способами:
11.1.1. С использованием средств вычислительной техники и автоматизации (Автоматизированная обработка персональных данных);
11.1.2. Без использования средств вычислительной техники и автоматизации. Обработка персональных данных не может быть признана Автоматизированной обработкой персональных данных только на том основании, что обрабатываемые Персональные данные содержатся в Информационной системе персональных данных либо были извлечены из неё;
11.1.3. Обработка персональных данных, содержащихся в Информационной системе персональных данных либо извлечённых из такой системы, считается осуществлённой без использования средств автоматизации (неавтоматизированной), если такие действия с Персональными данными, как использование, уточнение, распространение, уничтожение Персональных данных осуществляются при непосредственном участии человека.
11.2. При Обработке персональных данных Компания принимает необходимые и достаточные правовые, организационные и технические меры для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Персональных данных, а также от иных неправомерных действий в отношении Персональных данных.
11.3. Для обеспечения безопасности Персональных данных и выполнения Компанией обязанностей, предусмотренных настоящим Положением и российским законодательством о персональных данных, Компания, среди прочего, принимает следующие меры:
11.3.1. Назначает Ответственное лицо;
11.3.2. Обновляет настоящее Положение и приводит его в соответствие с требованиями российского законодательства о персональных данных по мере изменения этого законодательства;
11.3.3. Определяет угрозы безопасности Персональных данных при их Обработке;
11.3.4. Устанавливает правила доступа к Персональным данным, а также обеспечивает регистрацию доступа к Персональным данным;
11.3.5. Применяет организационные и технические меры по обеспечению безопасности Персональных данных при их Обработке, включая:

• Устанавливает системы и программное обеспечение, препятствующее проникновению в Информационную систему персональных данных (антивирусные программы, firewall и прочее);
• Ведёт учёт машинных и материальных носителей Персональных данных с присвоением им уникальных идентификационных номеров;
• Минимизирует права доступа: доступ к Персональным данным предоставляется только Ответственному лицу и Лицам, имеющим доступ к таким данным, только в объёме, необходимом для выполнения их должностных обязанностей;
• Ограничивает доступ в помещения Компании, в которых размещены ресурсы Информационной системы персональных данных (помещения с серверами и прочее) или хранятся Персональные данные на материальных носителях;
• Представители технических, обслуживающих и других вспомогательных служб, а также Субъекты персональных данных, не являющиеся Лицами, имеющими доступ к персональным данным, при работе в помещениях, где расположены Информационные системы персональных данных или материальные носители Персональных данных, а также при ознакомлении со своими Персональными данными, хранящимися в этих Информационных системах или на материальных носителях, находятся в этих помещениях только в присутствии Ответственного лица;
• Отслеживает факты несанкционированного доступа к Персональным данным и принимает необходимые меры по предотвращению в дальнейшем такого доступа;
• Организует хранение Персональных данных обособленно от иной Информации;
• Использует отдельные материальные носители для неавтоматизированной Обработки каждой категории Персональных данных;
• Обеспечивает применение информационных технологий, позволяющих сохранить целостность и неизменность биометрических персональных данных, записанных на материальный носитель;
• Восстанавливает Персональные данные, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;
• Обеспечивает раздельную Обработку персональных данных при несовместимости целей Обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять Обработку персональных данных отдельно от других зафиксированных на том же носителе Персональных данных.

11.3.6. Оценивает эффективность принимаемых мер по обеспечению безопасности Персональных данных и проводит аудит соответствия Обработки персональных данных в Компании требованиям настоящего Положения и российского законодательства о персональных данных.

12. ХРАНЕНИЕ, ДОСТУП И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

12.1. Персональные данные хранятся:

• На материальных носителях, хранящихся в специально отведённом и запираемом на ключ железном шкафу (сейф), доступ к которому предоставлен только отдельным Лицам, имеющим доступ к персональным данным;
• В электронном виде в бухгалтерской программе «1С» для проведения взаиморасчётов между контрагентами Компании, доступ к которой имеют только отдельные Лица, имеющие доступ к персональным данным;
• В электронном виде на персональном компьютере Генерального директора Компании, Лиц, имеющих доступ к персональным данным и Работников Компании, непосредственно взаимодействующих с Контрагентами компании или их представителями.

12.2. Доступ к Персональным данным Контрагентов компании или их представителей имеют Лица, имеющие доступ к персональным данным и занимающие следующие должности:

• Директор;
• Управляющий партнёр;
• Помощник руководителя;
• Старший юрист;
• Юрист;
• Офис-менеджер;
• Менеджер по маркетингу;
• Финансовый менеджер;
• Младший юрист.

12.3. Доступ к Персональным данным Соискателей на замещение вакантной должности имеют Лица, имеющие доступ к персональным данным и занимающие следующие должности:

• Директор;
• Управляющий партнёр;
• Помощник руководителя;
• Менеджер по маркетингу;
• Финансовый менеджер.

12.4. Доступ к Персональным данным Работников имеют Лица, имеющие доступ к персональным данным и занимающие следующие должности:

• Директор;
• Управляющий руководителя;
• Помощник руководителя;
• Лицо, осуществляющее обработку персональных данных.

12.5. Доступ к персональным компьютерам Лиц, имеющих доступ к персональным данным, строго ограничен: каждый их компьютер защищён паролем и оснащён сертифицированной антивирусной защитой. Пароли устанавливаются Ответственным лицом или системным администратором Компании и сообщаются индивидуально Лицам, имеющим доступ к персональным данным.
12.6. Лица, имеющие доступ к персональным данным, при работе с Персональными данными принимают на себя обязательство о неразглашении этих Персональных данных и обеспечивают:

• Хранение Персональных данных, исключающее доступ к ним третьих лиц;
• Недопущение оставления на рабочем столе документов, содержащих Персональные данные, при отсутствии самого Лица, имеющего доступ к персональным данным, за этим рабочим столом;
• Блокирование на время своего отсутствия персонального компьютера, на котором хранятся Персональные данные;
• Исполнение иных мер, указанных в обязательстве о неразглашении.

12.7. Хранение Персональных данных в Компании осуществляется не дольше, чем этого требуют цели Обработки персональных данных. Исключение составляют случаи, когда сроки хранения Персональных данных предусмотрены российским законодательством, включая:
12.7.1. При исполнении Компанией обязанности налогового агента – хранение документов, необходимых для исчисления, удержания и перечисления налога, не менее 4 лет;
12.7.2. При выполнении требований Закона о бухгалтерском учёте – хранение бухгалтерской документации не менее 5 лет.
12.8. Персональные данные на бумажных носителях уничтожаются с помощью средств, гарантирующих невозможность восстановления носителя (например, путём помещения в шредер) или посредством вычёркивания (вымарывания и т. п.) Персональных данных. Работники не вправе выбрасывать бумажные носители Персональных данных, предварительно не уничтожив их.
12.9. Уничтожение Персональных данных с машиночитаемых носителей производится способом, исключающим возможность использования и восстановления Персональных данных (включая уничтожение резервных копий).

13. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

13.1. Ответственное лицо, Лица, имеющие доступ к персональным данным, а также Работники Компании несут ответственность за виновное нарушение требований настоящего Положения в форме дисциплинарной, материальной, административной, гражданско-правовой или уголовной ответственности в порядке и на условиях, предусмотренных российским законодательством.
13.2. Компания вправе прекратить трудовые отношения с Работником в случае виновного и повторного нарушения положений настоящего Положения.

14. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

14.1. Настоящее Положение вступает в силу с даты его утверждения Генеральным директором и доводится до сведения каждого Работника Компании под роспись.
14.2. Незнание настоящего Положения не освобождает Работников от ответственности за его несоблюдение.
14.3. Контроль за исполнением настоящего Положения возлагается на Ответственное лицо, назначаемое Директором Компании.
14.4. Все изменения и дополнения к настоящему Положению, а также его отмена в связи с принятием нового Положения утверждаются Генеральным директором и доводятся до сведения всех Работников Компании под роспись, а также размещаются на Официальном сайте Компании и в офисе Компании по адресу её регистрации.
14.5. Признание недействительными или не соответствующими российскому законодательству части положений настоящего Положения не влечёт недействительности прочих положений этого Положения.
14.6. Во всём, что не урегулировано настоящим Положением, Компания и Субъекты персональных данных будут руководствоваться российским законодательством.