1. ИНФОРМАЦИЯ О ДОКУМЕНТЕ

Цель документа
  • Защита прав и законных интересов субъектов персональных данных.
  • Выполнение ООО «Серенити сайбер секьюрити» требований законодательства в области персональных данных.
  • Установление основных принципов и подходов к обработке и обеспечению безопасности персональных данных в ООО «Серенити сайбер секьюрити»

Краткое описание документа
Политика ПТ-СЕРЕНИТИ-010-1 «Обработка персональных данных в ООО «Серенити сайбер секьюрити» (далее – Политика) определяет принципы, порядок и условия обработки персональных данных работников ООО «Серенити сайбер секьюрити» и иных лиц, чьи персональные данные обрабатываются ООО «Серенити сайбер секьюрити», а также лицами по поручению ООО «Серенити сайбер секьюрити».

Ограничение доступа
Нет

Периодичность пересмотра:
В связи с изменениями законодательства Российской Федерации в области персональных данных, по результатам анализа актуальности, достаточности и эффективности применяемых мер обеспечения безопасности персональных данных при их обработке, а также по результатам контрольных мероприятий, но не реже одного раза в 3 года


2. ОТВЕТСТВЕННОСТЬ И ОБЛАСТЬ ПРИМЕНЕНИЯ

Настоящий документ регламентирует деятельность следующих подразделений и должностных лиц, включая исполняющих роли:

Все подразделения и должностные лица ООО «Серенити сайбер секьюрити», осуществляющие обработку персональных данных (в том числе, потенциально имеющие доступ к персональным данным).


3. ОПРЕДЕЛЕНИЯ ТЕРМИНОВ И СОКРАЩЕНИЙ

3.1. Определения терминов и сокращений

Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;

Специальные категории персональных данных - Сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;

Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

Роскомнадзор - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - уполномоченный орган по защите прав субъектов персональных данных.

3.2 Теги к документу

Теги: Персональные данные; ПДн; Защита персональных данных


4. ОБЩИЕ ПОЛОЖЕНИЯ

4.1. Деятельность общества с ограниченной ответственностью «Серенити сайбер секьюрити» (далее по тексту – ООО «Серенити сайбер секьюрити», Оператор) в соответствии с настоящей Политикой, прежде всего, преследует своей целью обеспечение защиты прав и свобод субъектов ПДн при обработке их ПДн, в том числе, защиту прав на неприкосновенность частной жизни, личную и семейную тайну.

4.2. Настоящая Политика разработана в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту – Закон № 152-ФЗ), а также иными подзаконными нормативно-правовыми актами в сфере персональных данных.

4.3. Положения Политики действуют в отношении всех ПДн, обрабатываемых Оператором, и являются основой для организации работы по обработке ПДн в ООО «Серенити сайбер секьюрити», в том числе, для разработки иных внутренних нормативных документов, регламентирующих процесс обработки персональных данных в ООО «Серенити сайбер секьюрити». Политика распространяет свое действие на обрабатываемые Оператором ПДн, которые были получены как до, так и после ввода в действие настоящей Политики. Порядок обработки ПДн в ООО «Серенити сайбер секьюрити» регулируется настоящей Политикой в соответствии с требованиями действующего законодательства РФ в области ПДн и отраслевого законодательства Российской Федерации, если в нем установлен порядок обработки ПДн.

4.4. Настоящая Политика распространяется на все процессы ООО «Серенити сайбер секьюрити», связанные с обработкой ПДн субъектов, и обязательна для применения всеми работниками ООО «Серенити сайбер секьюрити», осуществляющими обработку ПДн в силу своих должностных обязанностей (в том числе, имеющими потенциальный доступ к ПДн), а также иными лицами, допущенными к обработке ПДн со стороны ООО «Серенити сайбер секьюрити».
Политика является обязательной для ознакомления и исполнения всеми лицами, допущенными к обработке ПДн со стороны ООО «Серенити сайбер секьюрити».

4.5. В соответствии с пунктом 2 части 2 статьи 1 Закона № 152-ФЗ обращение с документами, переданными на хранение в соответствии с законодательством об архивном деле в Российской Федерации, не регулируется настоящей Политикой.

4.6. Во всех случаях, не урегулированных настоящей Политикой, необходимо руководствоваться действующим законодательством РФ. Если международным договором РФ установлены иные правила чем те, которые предусмотрены Законом № 152-ФЗ, то ООО «Серенити сайбер секьюрити» применяет правила международного договора.


5. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка ПДн в ООО «Серенити сайбер секьюрити» осуществляется на основе следующих принципов:

  • обработка ПДн осуществляется на законной и справедливой основе;
  • принципа добросовестности ООО «Серенити сайбер секьюрити», как оператора ПДн, что достигается путем выполнения требований законодательства Российской Федерации в отношении обработки ПДн; обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн;
  • не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только ПДн, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки;
  • при обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. ООО «Серенити сайбер секьюрити сайбер секьюрити» принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных, или неточных данных;
  • хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн;
  • при сборе ПДн, в том числе посредством информационно-телекоммуникационной сети «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации должны осуществляться в ООО «Серенити сайбер секьюрити» с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных Законом № 152-ФЗ;
  • обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.


6. КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. ПДн являются информацией ограниченного доступа (конфиденциального характера) в соответствии с законодательством РФ. ПДн могут обрабатываться самостоятельно или в составе другой информации конфиденциального характера, порядок обработки которой устанавливается отраслевыми федеральными законами, в частности, о коммерческой тайне (коммерческая тайна), об архивном деле и другими.
Состав ПДн, обрабатываемых ООО «Серенити сайбер секьюрити», определяется в соответствии с законодательством Российской Федерации и локальными актами ООО «Серенити сайбер секьюрити» с учетом целей обработки ПДн, определенных в настоящей Политике и в соответствии с уведомлением об обработке ПДн, направленным в Роскомнадзор с учетом требований статьи 22 Закона №152-ФЗ.

6.2. ООО «Серенити сайбер секьюрити» в рамках своей деятельности вправе осуществлять обработку специальных категорий ПДн только в случаях, прямо предусмотренных действующим законодательством Российской Федерации в сфере ПДн и (или) при наличии иных правовых оснований (в том числе с согласия субъекта ПДн). ООО «Серенити сайбер секьюрити» также вправе осуществлять обработку сведений о судимости только в случаях, прямо предусмотренных действующим законодательством Российской Федерации.

6.3. ООО «Серенити сайбер секьюрити» в рамках своей деятельности вправе осуществлять обработку биометрических ПДн для установления личности субъекта ПДн, только при наличии его письменного согласия, за исключением случаев обработки биометрических ПДн, предусмотренных частью 2 статьи 11 Закона № 152-ФЗ. Форма и порядок получения письменного согласия должны соответствовать требованиям части 4 статьи 9 Закона № 152-ФЗ.

6.4. ООО «Серенити сайбер секьюрити» в рамках своей деятельности вправе осуществлять обработку ПДн, разрешенных субъектом ПДн для распространения, в форме и порядке, предусмотренном положениями статьи 10.1 Закона № 152-ФЗ, с учетом установленных субъектом ПДн запретов и ограничений.

6.5. ООО «Серенити сайбер секьюрити» осуществляет обработку ПДн следующих категорий субъектов персональных данных:

  • действующие работники;
  • уволенные работники;
  • близкие родственники и члены семьи работников;
  • практиканты;
  • кандидаты на замещение вакантных должностей;
  • физические лица – респонденты;
  • имеющие или имевшие с ООО «Серенити сайбер секьюрити» договорные отношения контрагенты – физические лица, а также представители контрагентов юридических лиц (в т.ч. их работники и уполномоченные лица контрагентов), физические лица - индивидуальные предприниматели, физические лица, занимающиеся в установленном законодательством Российской Федерации порядке частной практикой), а также выгодоприобретатели, бенефициары, контролирующие лица (участники, акционеры, лица, входящие в органы управления контрагентов и пр.) поручители, залогодатели и иные физические лица, данные которых ООО «Серенити сайбер секьюрити» обрабатывает в рамках взаимодействия с контрагентами;
  • пользователи мобильных приложений, услуг, сервисов и интернет-сайтов ООО «Серенити сайбер секьюрити»;
  • физические лица, с которыми заключены договоры гражданско-правового характера;
  • физические лица (представители юридических лиц), обратившиеся в ООО «Серенити сайбер секьюрити» по различным вопросам;
  • физические лица, обработка персональных данных которых осуществляется ООО «Серенити сайбер секьюрити» по поручению;
  • посетители объектов ООО «Серенити сайбер секьюрити»
  • лица, входящие в состав органов управления и иных коллегиальных органов ООО «Серенити сайбер секьюрити», а также контролеры и конечные бенефициары (акционеры) ООО «Серенити сайбер секьюрити»;
  • иные субъекты ПДн, обращающиеся в ООО «Серенити сайбур секьюрити» (при необходимости обработки их ПДн в рамках поступивших в ООО «Серенити сайбер секьюрити» от таких субъектов запросов).


7. ИСТОЧНИКИ ПОЛУЧЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Получение ПДн в ООО «Серенити сайбер секьюрити» организуется таким способом, чтобы не нарушить конфиденциальность собираемых ПДн.

7.2. Обрабатываемые ООО «Серенити сайбер секьюрити» ПДн могут быть получены, как непосредственно от субъекта ПДн, так и от иных третьих лиц, в том числе являющихся контрагентами ООО «Серенити сайбер секьюрити», при наличии соответствующих правовых оснований (включая, но не ограничиваясь согласием субъекта ПДн).

7.3. При получении ПДн непосредственно от субъекта ПДн, ООО «Серенити сайбер секьюрити» обязуется обеспечить наличие правовых оснований, предусмотренных действующим законодательством Российской Федерации в сфере персональных данных. В случаях, когда правовым основанием обработки ПДн является согласие субъекта ПДн, такое согласие может быть получено в любой форме, позволяющей подтвердить факт его получения, при единовременном соблюдении условия, что такое согласие должно отвечать требованиям конкретности, предметности, информированности, однозначности и сознательности. В случаях, прямо предусмотренных федеральным законом обработка персональных данных допускается только при наличии письменного согласия субъекта ПДн, форма и порядок получения, которого должны соответствовать требованиям части 4 статьи 9 Закона № 152-ФЗ.

7.3. В случае недееспособности субъекта ПДн письменное согласие на обработку его ПДн получается от его законного представителя.

7.4. При получении ПДн не от субъекта ПДн, ООО «Серенити сайбер секьюрити», до начала обработки таких ПДн, обязуется предоставить субъекту ПДн следующую информацию:

  • наименование и адрес ООО «Серенити сайбер секьюрити» или его представителя;
  • цель обработки ПДн и ее правовое основание;
  • перечень ПДн;
  • предполагаемые пользователи ПДн;
  • установленные Законом № 152-ФЗ права субъекта ПДн;
  • источник получения ПДн.

7.5. ООО «Серенити сайбер секьюрити» освобождается от обязанности информирования субъекта ПДн о получении ПДн от третьих лиц, в следующих случаях:

  • субъект ПДн уведомлен соответствующим оператором об осуществлении обработки его ПДн ООО «Серенити сайбер секьюрити»;
  • ПДн получены ООО «Серенити сайбер секьюрити» на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн;
  • обработка ПДн, разрешенных субъектом ПДн для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Закона № 152-ФЗ;
  • ООО «Серенити сайбер секьюрити» осуществляет обработку ПДн для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта ПДн;
  • информирование субъекта ПДн, нарушает права и законные интересы третьих лиц.


8. СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Обработка ПДн в ООО «Серенити сайбер секьюрити» может осуществляться как с использованием, так и без использования средств автоматизации, а также путем смешанной обработки, в том числе путем осуществления следующих действий - сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

8.2. Автоматизированная обработка ПДн должна осуществляться в ИСПДн ООО «Серенити сайбер секьюрити» в строгом соответствии с настоящей Политикой.

Автоматизированная обработка персональных данных производится с помощью средств вычислительной техники, как установленных локально, так и объединенных в ИСПДн.

Доступ к ИСПДн предоставляется уполномоченным работникам только для исполнения ими своих функций и должностных обязанностей.

При автоматизированной обработке, персональные данные содержатся на машинных носителях персональных данных. Фиксация персональных данных на машинном носителе производится с использованием средств вычислительной техники (копирование персональных данных на любой съемный или несъемный машинный носитель, ввод персональных данных в базу данных и т.п.).

8.3. Неавтоматизированная обработка ПДн должна осуществляться таким образом, чтобы ПДн обособлялись от иной информации, в частности путем фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков) и иным способом.

8.4. При неавтоматизированной обработке ПДн, предполагающей использование типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее – типовая форма), необходимо выполнять следующие условия:

a) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать:

  • сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации;
  • реквизиты ООО «Серенити сайбер секьюрити» (наименование и адрес);
  • фамилию, имя, отчество (при наличии) и адрес субъекта ПДн;
  • источник получения ПДн, сроки обработки ПДн;
  • перечень действий с ПДн, которые будут совершаться в процессе их обработки;
  • общее описание используемых Оператором способов обработки ПДн;

b)типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку ПДн;
c)типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн;
d)типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.

8.5. Лица, осуществляющие обработку ПДн без использования средств автоматизации (работники ООО «Серенити сайбер секьюрити» и другие лица, осуществляющие обработку ПДн по поручению ООО «Серенити сайбер секьюрити»), должны быть проинформированы о факте обработки ими ПДн, обработка которых осуществляется ООО «Серенити сайбер секьюрити» без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также нормативными документами ООО «Серенити сайбер секьюрити».

8.6. При сохранении ПДн на материальных носителях (в т.ч. машинных носителях) не допускается сохранение на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн следует использоваться отдельный материальный носитель.

8.7. ООО «Серенити сайбер секьюрити» вправе принимать решения, порождающие юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, на основании исключительно автоматизированной обработки его ПДн, только при наличии согласия в письменной форме субъекта ПДн или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

8.8. Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путём осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта ПДн. ООО «Серенити сайбер секьюрити» обязано немедленно прекратить по требованию субъекта ПДн обработку его ПДн в вышеуказанных целях.


9. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. ООО «Серенити сайбер секьюрити» является оператором ПДн, самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку ПДн, а также определяет цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

9.2. Обработка ПДн субъектов ПДн осуществляется в ООО «Серенити сайбер секьюрити» в следующих целях:

  • организация кадрового учета работников ООО «Серенити сайбер секьюрити», обеспечение работникам ООО «Серенити сайбер секьюрити» трудовых прав и предоставленных трудовых гарантий, трудовых и производственных процессов, включая исполнение трудового законодательства РФ и иных актов, содержащих нормы трудового права, содействие работникам в трудоустройстве, получение образования и продвижение по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, информационное обеспечение;
  • рассмотрение кандидатов на замещение вакантных должностей, а также включение кандидатов в кадровый резерв;
  • обеспечение режима безопасности, пропускного режима (в т.ч. учет и регистрация посетителей офисов ООО «Серенити сайбер секьюрити», управления доступом на охраняемую территорию ООО «Серенити сайбер секьюрити», а также установления личности субъекта ПДн для предоставления необходимого доступа (пропускной режим);
  • предоставление услуг и сервисов, а также осуществление иной деятельности, предусмотренной уставом ООО «Серенити сайбер секьюрити» и действующим законодательством Российской Федерации;
  • предоставление доступа (в т.ч. регистрации) к Интернет-сайтам, платформам, площадкам, маркетплейсам, мобильным приложениям и иным ресурсам ООО «Серенити сайбер секьюрити» и (или) третьих лиц (Партнеров Оператора);
  • участие субъекта персональных данных в тестировании продуктов, услуг и сервисов ООО «Серенити сайбер секьюрити»;
  • проведение рекламных и маркетинговых активностей и акций, прочих стимулирующих мероприятий, в том числе рекламных и маркетинговых активностей и акций третьих лиц;
  • исполнение договора, стороной которого, либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также заключение договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • взаимодействие с контрагентами и партнерами при ведении закупочной деятельности и/или договорной работы (включая преддоговорную работу), при исполнении договоров и соглашений;
  • обработка сообщений физических лиц (представителей юридических лиц), обратившихся в ООО «Серенити сайбер секьюрити» по различным вопросам;
  • формирование и предоставление отчетности государственным органам (контролирующим органам) в соответствии с требованиями законодательства Российской Федерации;
  • создание информационных систем данных, построения моделей, профилирования, прогнозирования, скоринг-моделей, их использования для формирования возможных услуг и предложений ООО «Серенити сайбер секьюрити», для анализа агрегированных и анонимизированных данных, а также статистических и исследовательских целей;
  • выполнение и обеспечение соблюдения требований законов и иных нормативных правовых актов РФ и применимого к ООО «Серенити сайбер секьюрити».


10. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. ООО «Серенити сайбер секьюрити» в процессе своей деятельности обязано обеспечивать конфиденциальность обрабатываемых ПДн, в частности ООО «Серенити сайбер секьюрити» обязуется не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено действующим законодательством Российской Федерации.


11. ПЕРЕДАЧА И ПОРУЧЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Обработка ПДн в ООО «Серенити сайбер секьюрити» может осуществляться:

  • работниками ООО «Серенити сайбер секьюрити»;
  • другими лицами, осуществляющими обработку ПДн по поручению ООО «Серенити сайбер секьюрити».

11.2. Обработка ПДн третьими лицами по поручению ООО «Серенити сайбер секьюрити» может осуществляться на основании соответствующего договора, в котором содержится поручение на обработку ПДн с согласия субъекта ПДн, если иное не предусмотрено Законом № 152-ФЗ. В поручении должны быть определены перечень ПДн, перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн, требования предусмотренные частью 5 статьи 18 и статьей 18.1 Закона № 152-ФЗ, обязанность по запросу Оператора в течение срок действия поручения, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора требований, обязанность обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 Закона № 152-ФЗ, в том числе требование об уведомлении Оператора о случаях, предусмотренных частью 3.1 статьи 21 Закона № 152-ФЗ.

11.3. При передаче ПДн третьим лицам должны выполняться следующие условия:

  • передача (предоставление доступа) ПДн третьим лицам осуществляется на основании договора, существенным условием которого является обеспечение третьей стороной конфиденциальности ПДн и безопасности ПДн при их обработке;
  • передача (предоставление доступа) ПДн третьей стороне осуществляется на основаниях, предусмотренных действующим законодательством РФ;
  • наличие согласия субъекта ПДн на передачу его ПДн третьей стороне, за исключением случаев, когда необходимость получения согласия отсутствует в соответствии с действующим предусмотренных законодательством.

11.4. ООО «Серенити сайбер секьюрити» в процессе своей деятельности вправе осуществлять трансграничную передачу ПДн в соответствии с требованиями Закона №152-ФЗ, с учетом целей обработки ПДн, определенных в настоящей Политике, и в соответствии с уведомлением, направленным Серенити в Роскомнадзор в соответствии с требованиями статьи 12 Закона № 152-ФЗ.

11.5. В целях информационного обеспечения в ООО «Серенити сайбер секьюрити» могут создаваться общедоступные источники данных (в том числе специализированные справочники, телефонные, адресные книги и др.), содержащие ПДн, к которым с письменного согласия субъекта ПДн может предоставляться доступ неограниченному кругу лиц. Сведения о субъекте ПДн могут быть в любое время исключены ООО «Серенити сайбер секьюрити» из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов.


12. ОСОБЕННОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, РАЗРЕШЕННЫХ СУБЪЕКТОМ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЛЯ РАСПРОСТРАНЕНИЯ

12.1 ООО «Серенити сайбер секьюрити» в рамках своей деятельности может осуществлять распространение персональных данных субъектов ПДн, только при наличии соответствующего согласия субъекта ПДн и в строгом соответствии с требованиями статьи 10.1 Закона № 152-ФЗ.

12.2. Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, должно оформляться отдельно от иных согласий субъекта ПДн на обработку его ПДн. ООО «Серенити сайбер секьюрити» обязуется обеспечить субъекту ПДн возможность определить перечень ПДн по каждой категории ПДн, указанной в согласии на обработку ПДн, разрешенных субъектом ПДн для распространения.

12.3. Форма и содержание согласия на обработку ПДн, разрешенных субъектом ПДн для распространения должны соответствовать требованиям, которые установлены уполномоченным органом по защите прав субъектов ПДн в отношении такого согласия. Молчание или бездействие субъекта ПДн ни при каких обстоятельствах не может считаться согласием на обработку ПДн, разрешенных субъектом ПДн для распространения.

12.4. В согласии на обработку ПДн, разрешенных субъектом персональных данных для распространения, субъект ПДн вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих ПДн неограниченным кругом лиц.

12.5. ООО «Серенити сайбер секьюрити» обязуется в срок не позднее 3 (трех) рабочих дней с момента получения соответствующего согласия субъекта ПДн опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц ПДн, разрешенных субъектом ПДн для распространения.

12.6. ООО «Серенити сайбер секьюрити» обязуется прекратить передачу (распространение, предоставление, доступ) ПДн, разрешенных субъектом ПДн для распространения, в случае поступления от субъекта ПДн соответствующего требования. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПДн, а также перечень ПДн, обработка которых подлежит прекращению.


13. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

13.1. Субъект ПДн имеет право:

  • получать информацию, касающуюся обработки его ПДн, в порядке, форме и в сроки, установленные законодательством Российской Федерации в сфере ПДн;
  • требовать уточнения своих ПДн, их блокирования или уничтожения, в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении субъектов ПДн согласия на обработку персональных данных;
  • требовать прекращения обработки своих ПДн;
  • принимать предусмотренные законом меры по защите своих прав;
  • отозвать свое согласие на обработку персональных данных.

13.2. Для реализации своего права на получение информации касающейся обработки его ПДн, субъект ПДн, или его представитель, должен обратиться в ООО «Серенити сайбер секьюрити», по реквизитам, указанным в разделе 18 настоящей Политики, с письменным заявлением, которое должно содержать:

  • номер основного документа, удостоверяющего личность субъекта ПДн или его представителя;
  • сведения о дате выдачи указанного документа и выдавшем его органе;
  • сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором,
  • подпись субъекта ПДн или его представителя.

В рамках действующего законодательства РФ в сфере ПДн, ООО «Серенити сайбер секьюрити» обязуется предоставить субъекту ПДн по его запросу, следующую информацию:

  • подтверждение факта обработки ПДн ООО «Серенити сайбер секьюрити»;
  • правовые основания и цели обработки ПДн;
  • цели и применяемые ООО «Серенити сайбер секьюрити» способы обработки ПДн;
  • наименование и место нахождения ООО «Серенити сайбер секьюрити»;
  • сведения о лицах (за исключением работников ООО «Серенити сайбер секьюрити»), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с ООО «Серенити сайбер секьюрити» или на основании федерального закона;
  • обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки ПДн, в том числе сроки их хранения;
  • порядок осуществления субъектом ПДн прав, предусмотренных Законом № 152-ФЗ;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению ООО «Серенити сайбер секьюрити», если обработка поручена или будет поручена такому лицу;
  • информацию о способах исполнения ООО «Серенити сайбер секьюрити» обязанностей, установленных статьей 18.1 Закона № 152-ФЗ;
  • иные сведения, предусмотренные Законом № 152-ФЗ или другими федеральными законами.

13.3. В рамках реализации права на отзыв своего согласия на обработку ПДн, субъект ПДн вправе обратиться в адрес ООО «Серенити сайбер секьюрити» с заявлением об отзыве ранее данного согласия на обработку персональных данных. Также субъект ПДн вправе обратиться к ООО «Серенити сайбер секьюрити» с требованием о прекращении обработки ПДн. ООО «Серенити сайбер секьюрити» оставляет за собой право продолжить обработку персональных данных без согласия ПДн, если такая обработка будет осуществляться при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона № 152-ФЗ.

13.4. Субъект ПДн, в целях уточнения и актуализации своих ПДн, обязан своевременно представлять ООО «Серенити сайбер секьюрити» информацию об изменении своих ПДн.


14. СРОКИ ОБРАБОТКИ (ХРАНЕНИЯ) ПЕРСОНАЛЬНЫХ ДАННЫХ

14.1. Порядок хранения ПДн, обрабатываемых в ООО «Серенити сайбер секьюрити», определяется нормативными документами ООО «Серенити сайбер секьюрити» в соответствии с положениями Закона № 152-ФЗ.

14.2. Сроки обработки (хранения) ПДн определяются в соответствии со сроком действия договора с субъектом ПДн; сроком, установленным в соответствующем согласии субъекта ПДн приказом Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», сроками исковой давности, а также иными сроками, установленными законодательством РФ и нормативными документами ООО «Серенити сайбер секьюрити».

14.3. ПДн, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом или нормативными документами ООО «Серенити сайбер секьюрити». Хранение ПДн после истечения срока хранения допускается только после их обезличивания.


15. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ. ПОРЯДОК РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

15.1. В случаях, прямо предусмотренных статьей 14 Закона № 152-ФЗ, ООО «Серенити сайбер секьюрити» сообщает субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставляет возможность ознакомления с этими ПДн при обращении субъекта ПДн или его представителя либо в течение 10 (десяти) рабочих дней с даты получения запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней при условии направления ООО «Серенити сайбер секьюрити» в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

15.2. В рамках реализации требований Закона № 152-ФЗ, ООО «Серенити сайбер секьюрити» на безвозмездной основе представляет субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту персональных данных. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, ООО «Серенити сайбер секьюрити» вносит в них необходимые изменения. В срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, ООО «Серенити сайбер секьюрити» уничтожает такие ПДн. При этом ООО «Серенити сайбер секьюрити» обязуется уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.

15.3.В случае выявления неправомерной обработки ПДн при обращении/запросе субъекта ПДн, его представителя либо уполномоченного органа по защите прав субъектов ПДн Оператор обязуется с момента обращения/запроса на период проверки осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора). В случае выявления неточных ПДн при обращении/запросе субъекта ПДн, его представителя либо уполномоченного органа по защите прав субъектов ПДн Оператор обязуется осуществить блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения/запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц. В случае подтверждения факта неточности ПДн, ООО «Серенити сайбер секьюрити» на основании сведений, представленных субъектом ПДн, его представителем либо уполномоченным органом по защите прав субъектов ПДн, обязуется уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование ПДн.

15.4. ООО «Серенити сайбер секьюрити» также прекращает обработку ПДн или обеспечивает прекращение обработки ПДн лицом, действующим по его поручению:

  • в случае выявления неправомерной обработки ПДн, осуществляемой ООО «Серенити сайбер секьюрити» или лицом, действующим по его поручению, в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления;
  • в случае отзыва субъектом ПДн согласия на обработку его ПДн ООО «Серенити сайбер секьюрити», при отсутствии иных правовых оснований обработки ПДн;
  • в случае получения требования субъекта ПДн о прекращении обработки его ПДн и при отсутствии иных правовых оснований обработки ПДн, в срок не превышающий 10 (десяти) рабочих дней с даты получения ООО «Серенити сайбер секьюрити» такого требования. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления ООО «Серенити сайбер секьюрити» в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
  • в случае достижения цели обработки ПДн, при отсутствии иных правовых оснований обработки ПДн.

ООО «Серенити сайбер секьюрити» обязано уничтожить ПДн или обеспечить их уничтожение, если обработка ПДн осуществляется другим лицом, действующим по поручению ООО «Серенити сайбер секьюрити»:
  • в случае отзыва субъектом ПДн согласия на обработку его ПДн ООО «Серенити сайбер секьюрити» в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иной срок не установлен договором, иным соглашением, федеральным законодательством и при отсутствии иных правовых оснований обработки ПДн;
  • в случае достижения цели обработки ПДн, в срок, не превышающий 30 (тридцати) дней с даты достижения цели, если иной срок не установлен договором, иным соглашением, федеральным законодательством и при отсутствии иных правовых оснований обработки ПДн;
  • в случае представления субъектом ПДн, его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, в срок, не превышающий 7 (семи) рабочих дней со дня представления таких сведений;
  • в случае, если невозможно обеспечить правомерность обработки ПДн, в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки ПДн.

В случае отсутствия возможности уничтожения ПДн в течение указанного срока, ООО «Серенити сайбер секьюрити» осуществляет блокирование таких ПДн или обеспечивает их блокирование, если обработка ПДн осуществляется другим лицом, действующим по поручению ООО «Серенити сайбер секьюрити», и обеспечивает уничтожение ПДн в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.


16. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

16.1. При обработке ПДн ООО «Серенити сайбер секьюрити» принимает правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

16.2. Обеспечение безопасности ПДн осуществляется в рамках установления в ООО «Серенити сайбер секьюрити» режима безопасности информации конфиденциального характера.

16.3. Обеспечение безопасности ПДн, в частности, достигается:

  • определением угроз безопасности ПДн при их обработке в ИСПДн;
  • применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн;
  • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
  • учетом машинных носителей ПДн;
  • обнаружением фактов несанкционированного доступа к ПДн;
  • восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
  • контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ПДн в ИСПДн.

16.5. Обеспечение безопасности ПДн, обрабатываемых в информационных системах при обеспечении оперативно-розыскных мероприятий, осуществляется в соответствии с законодательством РФ об оперативно-розыскной деятельности.

16.6. Уровни защищенности ПДн при их обработке в ИСПДн ООО «Серенити сайбер секьюрити», требования к защите ПДн, обеспечивающих уровни защищенности ПДн, определяются в зависимости от актуальных угроз безопасности персональных данных с учетом возможного вреда субъекту ПДн, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн в соответствии с требованиями Постановлений Правительства Российской Федерации, подзаконных нормативных правовых актов ФСТЭК, ФСБ и Минцифры России, а также договорами между ООО «Серенити сайбер секьюрити», операторами ПДн и субъектами ПДн.

16.7. Обеспечение безопасности ПДн при трансграничной обработке ПДн осуществляется в соответствии с требованиями и рекомендациями международных правовых актов по обеспечению безопасности ПДн, международных стандартов по информационной безопасности и законодательства стран, на территории которых обрабатываются ПДн.

16.8. Использование биометрических ПДн вне ИСПДн осуществляется только с применением материальных носителей информации и технологии хранения, которые обеспечивают защиту биометрических ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления и распространения.

16.9. Защита ПДн при неавтоматизированной обработке осуществляется в соответствии с требованиями нормативных правовых актов РФ и нормативными документами ООО «Серенити сайбер секьюрити» по работе с материальными носителями информации.


17. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

17.1 ООО «Серенити сайбер секьюрити» и/или работники ООО «Серенити сайбер секьюрити», виновные в нарушении требований законодательства РФ в области ПДн, а также положений настоящей Политики, несут предусмотренную законодательством Российской Федерации ответственность.
17.2. Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки ПДн, а также требований к защите ПДн, подлежит возмещению в соответствии с законодательством Российской Федерации.


18. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

18.1. Настоящая Политика является общедоступной. Общедоступность Политики обеспечивается путем ее опубликования на Интернет-сайте ООО «Серенити сайбер секьюрити» по адресу – https://serenity.security.

18.2. Настоящая Политика подлежит пересмотру в связи с изменениями законодательства Российской Федерации в области персональных данных, по результатам анализа актуальности, достаточности и эффективности применяемых мер обеспечения безопасности персональных данных при их обработке, а также по результатам контрольных мероприятий, но не реже одного раза в 3 года (в соответствии с нормативными документами ООО «Серенити сайбер секьюрити»).

18.3. Субъекты ПДн, чьи ПДн обрабатываются ООО «Серенити сайбер секьюрити», могут получить разъяснения по вопросам обработки своих ПДн, а также реализовать свои права и законные интересы, направив соответствующий письменный запрос по почтовому адресу: 109147, г. Москва, ул. Воронцовская, д. 5 стр.2, помещ. XII (этаж 5), ком. 20, или в электронной форме по адресу: info@serenity.security

19. НОРМАТИВНЫЕ ССЫЛКИ

Внешние документы:

  1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
  2. Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности»
  3. Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и защите информации»
  4. Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
  5. Постановление Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования автоматизации»
  6. Приказ Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»
  7. Приказ Федерального архивного агентства от 31.07.2023 № 77 «Об утверждении Правил организации хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации и других архивных документов в государственных органах, органах местного самоуправления и организациях»
  8. Иные нормативные правовые акты Российской Федерации и нормативные документы исполнительных органов государственной власти.






Политика «обработка персональных данных в ООО «Серенити сайбер секьюрити»