Политика конфиденциальности

Политика в отношении обработки персональных данных

1 Общие положения

1.1 Назначение настоящей Политики

Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана в целях выполнения требований законодательства Российской Федерации при обработке персональных данных в АО «Группа «СВЭЛ» (далее – Оператор).

1.2 Основные понятия, используемые в настоящей Политике

В целях настоящей Политики используются следующие основные понятия:

автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

неавтоматизированная обработка персональных данных – обработка персональных данных без использования средств вычислительной техники. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлечённых из такой системы, считается осуществлённой без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;

обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);

трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.3 Права и обязанности оператора

Оператор в праве:

• отстаивать свои интересы в суде;
• отказывать в предоставлении персональных данных в случаях, предусмотренных действующим законодательством Российской Федерации;
• обрабатывать персональные данные субъекта без его согласия, в случаях, предусмотренных действующим законодательством Российской Федерации;
• поручать обработку персональных данных другим лицам в соответствии с действующим законодательством Российской Федерации.

Оператор обязан:

• предоставлять субъекту персональных данных или его представителю информацию о его персональных данных в случаях, предусмотренных действующим законодательством Российской Федерации;
• осуществлять меры по обеспечению безопасности персональных данных при их обработке в соответствии с действующим законодательством Российской Федерации;
• устранять нарушения действующего законодательства Российской Федерации, допущенные при обработке персональных данных;
• выполнять требования уполномоченного органа по защите прав субъектов персональных данных и действующего законодательства Российской Федерации.

1.4 Права и обязанности субъекта

Субъект персональных данных в праве:

• требовать уточнения своих персональных данных, их блокирования или уничтожения, в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
• запрашивать информацию о своих персональных данных, обрабатываемых оператором;
• отозвать своё согласие на обработку персональных данных;
• обжаловать действия или бездействие оператора в отношении обработки его персональных данных.

Субъект персональных данных обязан:

• предоставлять полные, достоверные персональные данные, необходимые для достижения целей обработки, а также подтверждать их достоверность предоставлением оригиналов документов;
• при изменении персональных данных, необходимых для достижения целей обработки, предоставить актуальные персональные данные, а также подтвердить их достоверность предоставлением оригиналов документов;
• соблюдать требования действующего законодательства Российской Федерации.

2 Цели обработки персональных данных

Оператор обрабатывает персональные данные следующих субъектов персональных данных:

• Работники;
• Претенденты на должность;
• Контрагенты;
• Посетители.

Оператор преследует следующие цели обработки персональных данных:

• обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам или соискателям в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности работников, контроля количества и качества выполняемой работы, обеспечение сохранности имущества, исполнение обязательств по трудовым и гражданско-правовым договорам;
• проведение Оператором опросов и исследований, направленных на выявление удовлетворенности/неудовлетворенности клиентов, постоянного совершенствования уровня предоставляемых услуг и качества продукции;
• проведение Оператором, уполномоченными ими лицами и контрагентами маркетинговых исследований в области продаж, сервиса, послепродажного обслуживания;
• получение и исследование Оператором статистических данных об объемах продаж и качестве оказываемых услуг;
• проведение Оператором маркетинговых программ;
• постоянное совершенствование уровня предоставляемых Оператором услуг;
• обеспечение и контроль пропускного и внутриобъектового режима на территории АО «Группа «СВЭЛ».

3 Порядок и условия обработки персональных данных

Оператор осуществляет обработку персональных данных с использованием средств автоматизации или без использования таких средств и осуществляет следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

При посещении Субъектом интернет-ресурсов Оператора (svel.ru), Субъект дает разрешение Оператору осуществлять сбор и обработку обезличенных данных о субъекте (в т.ч. файлов "cookie"). Разрешение предоставляется автоматически, если в настройках браузера Субъекта не указано иного.

Сбор данных осуществляется при помощи сервисов интернет-статистики.

Передача персональных данных третьим лицам допускается:

• при наличии действующего согласия субъекта персональных данных на обработку персональных данных для выполнения заявленных целей обработки персональных данных;
• при наличии законных оснований.

Сроки обработки персональных данных определены в согласии субъекта персональных данных, а при наличии законных оснований – соответствующим нормативным правовым актом.

4 Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

Актуализация, исправление, удаление и уничтожение персональных данных осуществляется при непосредственном обращении субъекта персональных данных или его представителя, либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных.

При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку, персональные данные подлежат уничтожению, если:

• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
• оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
• иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.

Регламент реагирования на запросы и обращения субъектов персональных данных и их представителей, уполномоченного органа по защите прав субъектов персональных данных по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным приведён в приложении А. Ответственный за организацию обработки персональных данных или иное лицо, назначенное оператором, осуществляет приём и обработку обращений и запросов субъектов персональных данных или их представителей в соответствующем журнале.

5 Обеспечение безопасности персональных данных

Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации.

Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, но не ограничивается, следующими способами:

• назначением ответственного за организацию обработки персональных данных;
• осуществлением внутреннего контроля и аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ № 152) и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам оператора;
• ознакомлением работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами по вопросам обработки персональных данных и обучением указанных работников;
• определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, установленных действующим законодательством Российской Федерации;
• учётом машинных носителей персональных данных;
• обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
• установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учёта всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных;
• применением иных мер в зависимости от актуальных угроз безопасности информации, установленного уровня (класса) защищённости информационных систем персональных данных.

6 Заключительные положения

Настоящая Политика является общедоступным документом и подлежит размещению на информационных стендах или на официальном сайте оператора.

Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных.

Регламент реагирования на запросы и обращения субъектов персональных данных и их представителей, уполномоченного органа по защите персональных данных

Порядок приёма запросов и обращений субъектов персональных данных

Запрос или обращение должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1. подтверждение факта обработки персональных данных оператором;
2. правовые основания и цели обработки персональных данных;
3. цели и применяемые оператором способы обработки персональных данных;
4. наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6. сроки обработки персональных данных, в том числе сроки их хранения;
7. порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8. информацию об осуществлённой или о предполагаемой трансграничной передаче данных;
9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10. иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.

Порядок ответа на запросы и обращения по персональным данным

№ п/п	Цель запроса или обращения	Возможные действия	Срок ответа
1	Подтверждение факта обработки ПДн	Предоставление информации, касающейся обработки ПДн (ч. 7, ст. 14 ФЗ № 152)	До 30 дней с момента обращения или запроса (ч. 1, ст. 20 ФЗ № 152)
		Мотивированный отказ подтверждения факта обработки ПДн (ч. 8, ст. 14 ФЗ № 152)	До 30 дней с момента обращения или запроса (ч. 2, ст. 20 ФЗ № 152)
2	Актуализация ПДн	Внесение изменений в обрабатываемые персональные данные, при предоставлении сведений, подтверждающих неточность, неполноту или неактуальность ПДн	До 7 рабочих дней с момента предоставления сведений (ч. 3, ст. 20 ФЗ № 152)
		Мотивированный отказ внесения изменений в обрабатываемые ПДн	До 7 рабочих дней с момента обращения или запроса (ч. 3, ст. 20 ФЗ № 152)
3	Уничтожение ПДн	Уничтожение ПДн, при предоставлении сведений, подтверждающих незаконное получение или не соответствие заявленным целям обработки	До 7 рабочих дней с момента предоставления сведений (ч. 3, ст. 20 ФЗ № 152)
		Мотивированный отказ уничтожения обрабатываемых ПДн	До 7 рабочих дней с момента обращения или запроса (ч. 3, ст. 20 ФЗ № 152)
4	Отказ согласия на обработку	Уничтожение ПДн	До 30 дней с момента обращения или запроса (ч. 3, ст. 20 ФЗ № 152)
	Продолжение обработки ПДн, при наличии правовых оснований	До 30 дней с момента обращения или запроса (ч. 3, ст. 20 ФЗ № 152)
5	Запрос уполномоченного органа по защите прав субъектов ПДн	Предоставление запрошенной информации	До 30 дней с момента запроса (ч. 4, ст. 20 ФЗ № 152)