АКЦИОНЕРНОЕ ОБЩЕСТВО

«ЛабКвест»

ПОЛИТИКА ЗАЩИТЫ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 1. Общие положения

1.1.      Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с пунктом 2 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), а также иными нормативно-правовыми актами в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее – Данные), которые АО «ЛабКвест» (далее – Оператор, Общество) может получить от субъекта персональных данных, пользователя сайта Общества, и/или являющегося стороной по гражданско-правовому договору.

1.2.        Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Закона о персональных данных.

1.3.    Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений указывается дата последнего обновления редакции Политики. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.

2. Термины и принятые сокращения

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Оператор персональных данных (Оператор) – Общество самостоятельно или совместно с другими лицами организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели                                        обработки персональных    данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:

·         сбор;

·         запись;

·         систематизацию;

·         накопление;

·         хранение;

·         уточнение (обновление, изменение);

·         извлечение;

·         использование;

·         передачу (распространение, предоставление, доступ);

·         обезличивание;

·         блокирование;

·         удаление;

·         уничтожение.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку, информационных технологий и технических средств.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Порядок и условия обработки и хранение персональных данных

3.1.     Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.

3.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

3.3.      Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.

3.4.        К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.

3.5. Обработка персональных данных осуществляется путем:

-     получения персональных данных в устной и письменной форме непосредственно с согласия субъекта персональных данных на обработку его персональных данных;

- получения персональных данных из общедоступных источников;

-     внесения персональных данных в журналы, реестры и информационные системы Оператора;

- использования иных способов обработки персональных данных.

3.6.   Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

3.7.     Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.

3.8.   Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

- определяет угрозы безопасности персональных данных при их обработке;

-   принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;

-    назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;

- создает необходимые условия для работы с персональными данными;

- организует учет документов, содержащих персональные данные;

-       организует работу с информационными системами, в которых обрабатываются персональные данные;

-   хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;

-   организует обучение работников Оператора, осуществляющих обработку персональных данных.

3.9.     Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.

3.10.      При сборе персональных данных, в том числе посредством информационно- телекоммуникационной сети интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.

3.11. Цели обработки персональных данных:

3.11.1.    Обработке подлежат только персональные данные, которые отвечают целям их обработки.

3.11.2. Обработка Оператором персональных данных осуществляется в следующих целях:

-     обеспечение соблюдения Конституции, федеральных законов и иных нормативных правовых актов Российской Федерации;

- осуществление своей деятельности в соответствии с уставом Общества;

-     заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;

- осуществление гражданско-правовых отношений;

- ведение бухгалтерского учета.

3.12. Категории субъектов персональных данных.

Оператором обрабатываются персональные данные следующих субъектов:

– физические лица, имеющие намерения вступить в гражданско-правовые отношения с Обществом и заполняющие на сайте Общества необходимые формы и вводящие сведения, в том числе включающие персональные данные;

- физические лица, состоящие с Обществом в гражданско-правовых отношениях.

3.13. Персональные данные, обрабатываемые Оператором:

– данные, полученные при заполнении форм и сведений на сайте Общества;

– данные, полученные при осуществлении гражданско-правовых отношений.

3.14.      Хранение персональных данных субъектов персональных данных могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

3.15.      Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.

3.16.      Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных предназначенных для этого папках.

3.17.    Не допускается хранение и размещение документов, содержащих персональные данные в открытых электронных каталогах (файлообменниках) или в иных открытых источниках.

3.18.      Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.19.        Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

3.20. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.

3.21. Факт уничтожения персональных данных подтверждается документально - Актом об уничтожении носителей, содержащих персональные данные.

4. Защита персональных данных

4.1.      В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных, состоящая из подсистем правовой, организационной и технической защиты.

4.2.          Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование системы защиты персональных данных.

4.3.     Подсистема организационной защиты включает в себя организацию структуры управления системой защиты персональных данных, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.

4.4.        Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.

4.4. Основными мерами защиты персональных данных, используемыми Оператором, являются:

4.5.1.     Назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением Оператором и его работниками требований к защите персональных данных.

4.5.2.      Определение актуальных угроз безопасности персональных данных при их обработке в информационной системе персональных данных и разработка мер и мероприятий по защите персональных данных.

4.5.3. Разработка политики в отношении обработки персональных данных.

4.5.4.      Установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными.

4.5.5.    Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.

4.5.6.   Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

4.5.7.        Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

4.5.8.      Соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.

4.5.9.    Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.

4.5.10.    Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

4.5.11.    Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим

политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.

4.5.12. Осуществление внутреннего контроля и аудита.

5. Основные права субъекта персональных данных и обязанности Оператора

5.1.   Субъект персональных данных имеет право на доступ к его персональным данным и следующим сведениям:

– подтверждение факта обработки персональных данных Оператором;

– правовые основания и цели обработки персональных данных;

– цели и применяемые Оператором способы обработки персональных данных;

–     наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

– сроки обработки персональных данных, в том числе сроки их хранения;

–      порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;

– обращение к Оператору и направление ему запросов;

– обжалование действий или бездействия Оператора.

5.2. Оператор обязан:

– при сборе персональных данных предоставить информацию об обработке персональных данных;

–    в случаях если персональные данные были получены не от субъекта персональных данных, уведомить об этом субъекта;

–   при отказе в предоставлении персональных данных субъекту разъясняются последствия такого отказа;

–     опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;

–       принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

–       давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.