1. Общие положения
1.1. Настоящее Положение определяет политику общества с ограниченной ответственностью «Геомодель Развитие» (ОГРН 1237700386252, далее — Оператор) в отношении обработки персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений.
1.2. Положение имеет своей целью закрепление механизмов обеспечения прав субъекта на сохранение конфиденциальности персональных данных.
1.3. Настоящее Положение об обработке и защите персональных данных оператором ООО «Геомодель Развитие» (далее — Положение) устанавливает порядок сбора, хранения, передачи и любого другого использования персональных данных, предоставленных субъектами персональных данных Оператору для целей оказания услуг в сфере организации конференций и мероприятий, формирования списка участников таких конференций и мероприятий, торговли печатной продукцией, учета членских взносов НКО, публикаций тезисов докладов, ведения кадровой работы и бухгалтерского учёта в соответствии с законодательством Российской Федерации и гарантии конфиденциальности сведений о субъекте персональных данных, предоставленных им Оператору. Положение утверждено приказом Генерального директора Оператора №1 от «1» июня 2023 года.
1.4. Положение разработано в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», иными нормативно-правовыми актами, действующими на территории Российской Федерации, Уставом Оператора.
2. Основные понятия
2.1. Для целей настоящего Положения используются следующие понятия:
1) Оператор персональных данных (далее Оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
2) Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, адрес электронной почты, почтовый адрес, телефон, дата рождения, место работы, должность, данные документа, удостоверяющего личность, cookie и IP-адрес (при онлайн-регистрации и оплате), профессиональные интересы. Для сотрудников и лиц, с которыми заключены договоры гражданско-правового характера, в состав персональных данных дополнительно включаются ИНН, СНИЛС, профессия, доходы, банковские реквизиты.
3) Субъект — субъект Персональных данных, включая работников Оператора, физических лиц по гражданско-правовым договорам, участников мероприятий, покупателей полиграфической продукции.
4) Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
5) Ответственный за организацию обработки персональных данных — должностное лицо Оператора, ответственное за обеспечение соответствия режима персональных данных Оператора требованиям законодательства Российской федерации.
6) Распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно- телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
7) Использование персональных данных — действия (операции) с персональными данными, совершаемые Оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
8) Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
9) Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
3. Обработка персональных данных
3.1. Общие положения об обработке персональных данных
3.1.1. Оператор осуществляет обработку Персональных данных, указанных в пункте 2.1 настоящего Положения.
3.1.2. Оператором осуществляется автоматизированная обработка персональных данных с передачей полученной информации по сети. Информация передается с использованием сети общего доступа Интернет.
3.1.3. В соответствии со ст.18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Федеральный закон «О персональных данных») Оператором:
1) назначен ответственный за организацию обработки персональных данных (далее — Ответственный);
2) утверждено настоящие Положение, определяющий политику Оператора в отношении обработки персональных данных, изданы локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) применены правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных»;
4) осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам Оператора;
5) проводится ознакомление сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, обучение указанных сотрудников.
3.1.4. В соответствии со ст.19 Федерального закона «О персональных данных» для персональных данных, собираемых на электронных носителях, безопасность обеспечивается:
1) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных:
— принятие локальных актов, регламентирующих порядок работы с персональными данными;
— назначение должностного лица, ответственного за обеспечение защиты персональных данных;
— защита от несанкционированного физического доступа к информации (организация доступа к помещениям, где установлено оборудование, препятствующая неконтролируемому проникновению и пребыванию в них посторонних лиц);
— защита паролем компьютеров с персональными данными;
— использование системы паролей при работе в сети (на портале);
— ограничение доступа к компьютерной технике для определенных категорий сотрудников.
2) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, когда применение таких средств необходимо для нейтрализации актуальных угроз;
3) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
4) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
5) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
6) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
3.1.5. Безопасность персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ, обеспечивается:
1) организацией режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
2) обеспечением сохранности носителей персональных данных;
3) утверждением Ответственным документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими обязанностей;
4) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
4) назначением ответственного за обеспечение безопасности персональных данных в информационной системе.
3.2. Общие требования при обработке персональных данных.
3.2.1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры и обеспечивать их реализацию для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
3.2.2. Обработка персональных данных может осуществляться исключительно в целях предоставления Субъектам услуг в сферах, указанных в 1.3 настоящего Положения.
3.2.3. Персональные данные не могут быть использованы в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.
3.2.4. При принятии решений, затрагивающих интересы субъекта персональных данных, нельзя основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения, за исключением случаев, установленных законодательством.
3.2.5. Сотрудники Оператора должны быть ознакомлены под расписку с документами Оператора, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области.
3.2.6. Субъекты имеют право ознакомиться с документом Оператора, определяющим его политику в отношении обработки персональных данных.
3.2.7. Работники не должны отказываться от своих прав на сохранение и защиту тайны (ст. 86 Трудового кодекса Российской Федерации).
3.3. Получение персональных данных.
3.3.1. В качестве субъектов персональных данных могут выступать любые физические лица.
3.3.2. В случае, если Персональные данные поступают непосредственно от Субъекта персональных данных, то Субъект самостоятельно принимает решение о предоставлении своих персональных данных и дает согласие на их обработку Оператором в электронной форме.
3.3.3. В случае, если Персональные данные поступают от третьего лица, которому Субъект персональных данных предоставил право на обработку своих персональных данных, то такое третье лицо гарантирует Оператору, что Субъект самостоятельно принял решение о предоставлении своих персональных данных и дает согласие на их обработку (в т.ч. передачу и хранение) Оператором в электронной форме.
3.3.4. Согласие на обработку персональных данных может быть отозвано Субъектом путем направления в адрес Оператора письменного уведомления, содержащего четко выраженное решение об отзыве своего согласия на обработку персональных данных.
3.4. Хранение персональных данных.
3.4.1. Хранение персональных данных Субъектов осуществляется Оператором в электронной форме.
3.4.2. Хранение персональных данных в электронной форме осуществляется способом, обеспечивающим возможность их восстановления и исключающим несанкционированный доступ.
3.5. Передача персональных данных
3.5.1. В целях, указанных в пункте 1.3 настоящего Положения, а также в целях заключения и исполнения договоров, в которых выгодоприобретателями являются Субъекты, Оператор вправе осуществлять передачу Персональных данных Субъектов третьим лицам, осуществляющим рассылку (в том числе телефонную, почтовую, электронную и SMS-оповещений) сообщений, организации связи. Для этих же целей Оператор также вправе привлекать третьих лиц для обработки Персональных данных Субъектов, в том числе для хранения таких Персональных данных, и вправе передавать таким третьим лицам Персональные данные Субъектов, в том числе третьим лицам, указанным на сайте geomodel.ru, на основании заключенных с такими третьими лицами гражданско-правовых договоров. Право выбора указанных компаний/лиц предоставляется Оператору и дополнительного согласования с Субъектом не требуется.
3.5.2. Оператор, за исключением случаев, указанных в п.3.5.1 не сообщает персональные данные Субъекта третьей стороне без его письменного согласия, за исключением случаев, когда это предусмотрено федеральными законами.
3.5.3. Все сведения о передаче Персональных данных Субъекта регистрируются в Журнале учета передачи персональных данных в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается какая именно информация была передана.
3.5.4. Внутренний доступ (доступ внутри организации) к персональным данным Субъекта имеют:
1) сотрудники Оператора, ответственные за выполнение функций (координацию проектов), в рамках которых собираются персональные данные;
2) сотрудники Оператора, уполномоченные на работу с персональными данными в соответствии с решением ответственного за организацию обработки персональных данных.
3.5.5. Все сотрудники, имеющие доступ к персональным данным Субъектов, обязаны принять на себя обязательства о неразглашении персональных данных.
3.6. Уничтожение персональных данных
3.6.1. Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки, в случае утраты необходимости в их достижении, а также в случае отзыва Субъектом персональных данных согласия на их обработку.
3.6.3. Персональные данные, обрабатываемые в электронной форме, уничтожаются способом, не позволяющим осуществить их восстановление.
4. Права и обязанности Субъектов персональных данных и Оператора
4.1.В целях обеспечения защиты персональных данных Субъекты имеют право:
1) получать полную информацию о своих персональных данных и обработке этих данных в порядке, установленном законодательством;
2) требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательства;
3) при отказе Оператора или уполномоченного им лица исключить или исправить персональные данные субъекта — заявить в письменной форме о своем несогласии, представив соответствующее обоснование;
4) обжаловать в суд любые неправомерные действия или бездействие Оператора или уполномоченного им лица при обработке и защите персональных данных Субъекта.
4.2. Субъекты в целях реализации своих прав направляют Оператору письменные обращения посредством почтовой связи на адрес: 119071, Москва, Ленинский проспект, д. 19.
4.3. Субъект персональных данных обязуется предоставлять персональные данные, соответствующие действительности.
4.4. Для защиты персональных данных Субъектов Оператор обязан:
1) за свой счет обеспечить защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном законодательством РФ;
2) предоставить Субъекту возможность ознакомиться с настоящим Положением и его правами в области защиты персональных данных путем размещения Положения в открытом доступе в сети Интернет;
3) по запросу ознакомить Субъекта с настоящим Положением и его правами в области защиты персональных данных;
4) осуществлять передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации;
5) по запросу субъекта предоставить ему полную информацию о его персональных данных и обработке этих данных.
5. Процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений
5.1. Ответственный за организацию обработки персональных данных в пределах своих полномочий организует деятельность, направленную на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений:
1) утверждает локальные акты Оператора в области обработки персональных данных.
2) осуществляет текущий контроль за деятельностью сотрудников Оператора в части, связанной с доступом к персональным данным, на предмет соответствия их деятельности требованиям законодательства и локальных актов Оператора в области обработки персональных данных;
3) рассматривает запросы и жалобы Субъектов, предписания государственных органов, уполномоченных в сфере контроля и надзора за соблюдением законодательства о персональных данных, готовит на них ответы;
4) принимает организационные меры, направленные на устранение причин и условий, способствующих нарушениям режима персональных данных, а также последствий нарушения законодательства и локальных актов Оператора в области обработки персональных данных;
5) организует защиту от непосредственного физического доступа к информации, составляющей персональные данные;
6) организует применение Оператором технических мер в области защиты персональных данных;
7) готовит проекты решений о привлечении сотрудников оператора к ответственности за нарушения режима работы с персональными данными.
5.2. В случае выявления угроз безопасности персональных данных Ответственный за организацию обработки Персональных данных принимает решение о применении прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
5.3. Сотрудники Оператора, деятельность которых связана с обработкой или использованием персональных данных, предварительно проходят обучение и под роспись знакомятся с обязанностями в сфере персональных данных, которые возлагаются на них Оператором и законодательством Российской Федерации.
5.4. Сотрудники Оператора, которым стало известно о нарушениях режима работы с Персональными данными, установленного законодательством Российской Федерации и локальными актами Оператора, фактах несанкционированного доступа к персональным данным обязаны незамедлительно уведомить об этом Ответственного за организацию обработки Персональных данных и принять меры, направленные на пресечение нарушений, минимизацию и устранение последствий такого нарушения.
6. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
6.1. Ответственный за организацию обработки персональных данных несет персональную ответственность за обеспечение соответствия режима обработки персональных данных Оператором требованиям законодательства Российской Федерации.
6.2. Ответственный за организацию обработки персональных данных, разрешающий доступ сотрудника Оператора к персональным данным, несет персональную ответственность за данное разрешение.
6.3. Сотрудники оператора, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных (включая локальные акты Оператора), привлекаются к ответственности в порядке, установленном законодательством Российской Федерации.
Оператор — Общество с ограниченной ответственность «Геомодель Развитие», Адрес: 119071, Москва, Ленинский проспект, д. 19, стр.2. ОГРН: 1237700386252.