1.1. Настоящая Политика в отношении обработки персональных данных (далее — Политика) составлена в соответствии с Конвенцией Совета Европы № 108 о защите личности в связи с автоматической обработкой персональных данных; Федеральным законом Российской Федерации № 152-ФЗ от 27 июля 2006 г «О персональных данных». , и Закона Кыргызской республики № 58 от 14.04.2008г. «Об информации персонального характера» (далее по тексту совместно именуются «Нормативные акты») и определяет систему основных принципов информационной безопасности, применяемых в отношении обработки персональных данных в организации ОсОО “Эйджэнси”, регистрационный номер 219889-3301-ООО, Кыргызская Республика,, (далее по тексту — Организация)..
К отношениям, регулируемым настоящей Политикой применяется право Российской Федерации, как более близко связанное с отношениями, а также более полное с точки зрения регулирования. При этом, в случаях обязательного применения публичного правопорядка в Кыргыской Республике, в частности при запросах органов государственной власти Кыргызской Республики, применяется право Кыргызской республики.
1.2. Политика подлежит изменению, дополнению в случае появления новых и/или изменения существующих законодательных актов и специальных нормативных документов об обработке и защите персональных данных. Новая редакция Политики вступает в силу с момента ее опубликования или обеспечения неограниченного доступа иным образом, если иное не предусмотрено новой редакцией Политики.
1.3. Политика распространяется на персональные данные, полученные как до, так и после вступления в силу настоящей Политики.
1.4. Настоящая Политика определяет общие принципы, порядок и условия обработки персональных данных работников Организации и иных лиц, чьи персональные данные обрабатываются Организации, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных.
1.5. Организация является Оператором персональных данных по смыслу Федерального закона Российской Федерации «О персональных данных» № 152-ФЗ от 27 июля 2006 г. и Держателем массива персональных данных по Закону Кыргызской республики № 58 от 14.04.2008г. «Об информации персонального характера». Для целей Политики термины Держатель и Оператор являются идентичными, и далее по тексту применяется термин «Оператор».
1.6. Обработке Организацией подлежат персональные данные следующих субъектов персональных данных
· сотрудники Организации;
· клиенты Организации:
· контрагенты Организации;
· физические лица, обратившиеся Организации в порядке, установленном Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации».
2.1. Организация является оператором персональных данных.
2.2. Важным условием реализации целей деятельности Организации, является обеспечение необходимого и достаточного уровня информационной безопасности персональных данных.
2.3. Организация осуществляет обработку персональных данных на законной и справедливой основе, в частности, в соответствии с требованиями Нормативных актов.
2.4. В Организации разработаны и введены в действие документы, устанавливающие порядок обработки и защиты персональных данных, которые обеспечивают соответствие требованиям Нормативных актов и позволяют обеспечить защиту персональных данных, обрабатываемых в Организации.
3.1. Сведениями, составляющими персональные данные, в Организации является любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (Субъекту персональных данных или Пользователю).
3.2. Состав персональных данных определяется целями их обработки и фиксируется «Перечнем персональных данных, обрабатываемых в Организации».
3.3. Организация осуществляет обработку следующих персональных данных Пользователя:
3.3.1. общие сведения (ф. и. о., дата рождения, место рождения, гражданство, образование, профессия, стаж работы, паспортные данные, адрес места жительства);
3.3.2. номер телефона;
3.3.3. адрес электронной почты;
3.3.4. информация об истории пользования сайтом Организации;
3.3.5. аккаунты в программах обмена сообщениями в мессенджерах и социальных сетях.
3.3.6. предоставленные Пользователем фото, видео.
Организация также собирает и обрабатывает следующие сведения, не являющимися персональными данными:
— информацию об интересах пользователей (поведенческая статистика) на сайте Организации и/или в мобильном приложении на основе введенных поисковых запросов пользователей сайте Организации и/или в мобильном приложении в результате реализации и предложении услуг Организации с целью предоставления актуальной информации пользователям при использовании сайта и/или мобильного приложения, а также обобщения и анализа информации, о том какие разделы сайта/мобильного приложения пользуются наибольшим спросом у пользователей;
— обработка и хранение поисковых запросов пользователей сайта и/или мобильного приложения с целью обобщения и создания клиентской статистики об использовании разделов сайта и/или мобильного приложения.
Организация автоматически получает некоторые виды информации, получаемой в процессе взаимодействия пользователя с сайтом/мобильным приложением, в т.ч. с использованием следующих технологий: веб-протоколы, куки, веб-отметки и др.
Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Организации не осуществляется.
Принципы и условия обработки персональных данных в Организации
3.4. Пользователь дает свое согласие на обработку персональных данных в момент принятия (акцепта) Публичной Оферты (в соответствии с условиями, изложенными в Публичной Оферте).
3.4.1. Срок действия согласия Пользователя – до одного из следующих моментов: до момента прекращения деятельности Организации; достижение цели обработки персональных данных; либо до получения от Пользователя заявления об отзыве согласия на обработку персональных данных.
3.5. При обработке персональных данных в Организации обеспечиваются их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных в Организации.
3.6. Обработка персональных данных включает в себя сбор, запись, систематизацию, накопление, хранение в информационной системе персональных данных, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение персональных данных с использованием средств автоматизации или без использования таких средств и иные действия, предусмотренные действующим законодательством Российской Федерации и Кыргызской республики и необходимые для осуществления указанной цели обработки, а также передачу персональных данных любым третьим лицам, которым Организация передает соответствующие персональные данные для достижения указанных выше целей, при обязательном условии обеспечения данными лицами безопасности предоставленных выше персональных данных, в том числе трансграничную передачу в страны, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.
3.7. Работники Организации (в том числе сотрудники, работающие удаленно) ознакомлены под роспись с документами Организации, устанавливающими порядок обработки и защиты персональных данных, а также права и обязанности, возникающие при осуществлении обработки и защиты персональных данных.
3.8. Работникам Организации запрещается осуществлять сбор, обработку и хранение персональных данных субъектов персональных данных в целях, лежащих за пределами целей обработки персональных данных в Организации, в том числе в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем.
3.9. Персональные данные поступают в Организации непосредственно от субъекта персональных данных или от лиц, не являющихся субъектами персональных данных, на основании договора. При этом Организации выполняет все требования к осуществлению обработки таких данных, предусмотренные Нормативными актами, а также обеспечивает безопасность полученных персональных данных.
3.10. Организации осуществляет передачу персональных данных третьим лицам на основании поручения обработки персональных данных в соответствии с требованиями Нормативных актов, а также в рамках исполнения норм действующего законодательства Российской Федерации и Республики Кыргызстан.
3.11. Обработка персональных данных в Организации осуществляется следующими способами:
· неавтоматизированная обработка персональных данных;
· автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
· смешанная обработка персональных данных.
4.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
— подтверждение факта обработки персональных данных Организацией;
— правовые основания и цели обработки персональных данных;
— цели и применяемые Организации способы обработки персональных данных;
— наименование и место нахождения Организации, сведения о лицах (за исключением работников Организации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Организации или на основании федерального закона;
— обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
— сроки обработки персональных данных, в том числе сроки их хранения;
— порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом;
— информацию об осуществленной или о предполагаемой трансграничной передаче данных;
— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Организации, если обработка поручена или будет поручена такому лицу;
— иные сведения, предусмотренные федеральными законами.
4.2. Субъект персональных данных вправе потребовать у Организации форму запроса информации, касающейся обработки персональных данных субъекта. Для получения формы запроса субъекту необходимо обратиться по адресу электронной почты info@fizikl.ru
4.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
4.4. Субъект персональных данных вправе требовать от Организации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4.5. Сведения, касающиеся обработки персональных данных субъекта, предоставляются ему Организации в доступной форме, и не содержат персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
4.6. Сведения, касающиеся обработки персональных данных субъекта, предоставляются ему или его представителю Организации при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством..
4.7. В случае если сведения, касающиеся обработки персональных данных субъекта, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Организации или направить повторный запрос не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
4.8. Субъект персональных данных вправе обратиться повторно к Организации или направить повторный запрос в целях получения сведений, касающихся обработки персональных данных субъекта, а также в целях ознакомления с обрабатываемыми персональными данными до истечения тридцати дней после первоначального обращения, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, касающимися обработки персональных данных субъекта, должен содержать обоснование направления повторного запроса.
4.9. Если субъект персональных данных считает, что Организации осуществляет обработку его персональных данных с нарушением требований федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Организации в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
4.10. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
5.1. Организация исполняет обязанности, предусмотренные для операторов персональных данных Федеральным законом Российской Федерации «О персональных данных» № 152-ФЗ от 27 июля 2006 г. и для Держателя массива персональных данных по Закону Кыргызской республики № 58 от 14.04.2008г. «Об информации персонального характера» и принятыми в соответствии с ними нормативными правовыми актами, в том числе:
5.1.1. сообщает субъекту персональных данных или его представителю информацию, касающуюся обработки его персональных данных, или мотивированные отказы в предоставлении такой информации;
5.1.2. осуществляет разъяснение субъекту персональных данных юридические последствия отказа предоставить его персональные данные в предусмотренных случаях;
5.1.3. вносит необходимые изменения в персональные данные, уничтожает их, уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы;
5.1.4. уведомляет уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, в случае изменения сведений, касающихся обработки персональных данных субъектов, а также в случае прекращения обработки персональных данных;
5.1.5. сообщает в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию;
5.1.6. в случае достижения цели обработки персональных данных обеспечивает прекращение обработки персональных данных и их уничтожение
5.2. В Организации для обеспечения выполнения обязанностей, предусмотренных Нормативными актами, приняты следующие необходимые и достаточные меры:
— ответственным за организацию обработки персональных данных назначен Мамонов Роман Григорьевич (тел. 8926358-91-98; эл. адрес: potokfizikl@yandex.ru)
— изданы локальные акты по вопросам обработки и защиты персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений;
— осуществляется внутренний контроль соответствия обработки персональных данных требованиям Нормативных актов, настоящей Политики, локальных актов Организации;
— проведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований федерального законодательства о персональных данных, произведено соотношение указанного вреда и принимаемых Организации мер, направленных на обеспечение выполнения обязанностей, предусмотренных требованиями Нормативных актов;
— работники Организации, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями Федерального закона Российской Федерации «О персональных данных» № 152-ФЗ от 27 июля 2006 г. и Закона Кыргызской республики № 58 от 14.04.2008г. «Об информации персонального характера» и принятых в соответствии с ним нормативных правовых актов, настоящей Политики и локальных актов по вопросам обработки персональных данных.
5.3. По запросу уполномоченного органа по защите прав субъектов персональных данных в Организации обеспечена готовность подтвердить принятие мер, предусмотренных Нормативными актами.
6.1. Лица, виновные в нарушении требований Федерального закона Российской Федерации «О персональных данных» № 152-ФЗ от 27 июля 2006 г. и Закона Кыргызской республики № 58 от 14.04.2008г. «Об информации персонального характера», во исполнение которого разработано настоящая Политика, несут гражданскую, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации и Кыргызской республики ответственность.
7.1. Организации имеет право вносить изменения в настоящую Политику.
7.2. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции.
7.3. Новая редакция Политики вступает в силу с момента ее размещения на сайте Организации, если иное не предусмотрено новой редакцией Политики.
7.4. Организация не осуществляет уведомление уполномоченного органа по защите прав субъектов персональных данных, поскольку:
Организация вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) обрабатываемых в соответствии с трудовым законодательством;
2) полученных Организацией в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются Организацией исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации и Кыргызской республики, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
4) сделанных субъектом персональных данных общедоступными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится Организация, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации и Кыргызской республики , устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации и Кыргызской республики о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.