1.1. Назначение Политики

1.1.1. Настоящая Политика в отношении обработки персональных данных в ООО «Бренд-Защита» (далее – Политика) разработана в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

1.1.2. Политика вступает в силу с момента ее утверждения генеральным директором ООО «Бренд-Защита».

1.1.3. Политика подлежит пересмотру в ходе периодического анализа со стороны руководства генерального директора ООО «Бренд-Защита» (далее – «Организация», «Оператор»), а также в случаях изменения законодательства Российской Федерации в области персональных данных.

1.1.4. Политика подлежит опубликованию на официальном сайте Организации (https://bprotection.ru/).

1.2. Цели Политики

1.2.1. Политика регулирует процедуры, связанные с обработкой персональных данных (далее — «ПД»), включая цели их сбора, категории субъектов ПД, перечень обрабатываемых данных, а также устанавливает права и обязанности сторон, способы, сроки хранения и условия уничтожения ПД.

1.3. Термины

1.3. Термины, применяемые в настоящей Политике, трактуются в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

1.4. Область действия

1.4.1. Положения Политики распространяются на все отношения, связанные с обработкой персональных данных, осуществляемой Организацией:

• с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным;
• без использования средств автоматизации.

2.1. Права субъекта персональных данных

Субъекты персональных данных обладают следующими правами:

• свободно и безвозмездно получать доступ к своим персональным данным, включая получение копий всех записей, содержащих их ПД;
• требовать исключения, уточнения или исправления неточных, неполных либо обрабатываемых с нарушением законодательства данных;
• добиваться уведомления всех лиц, ранее получивших недостоверные или неполные данные, о произведённых исправлениях;
• отзывать ранее данное согласие на обработку персональных данных;
• назначать представителей для защиты своих прав в области персональных данных;
• обжаловать действия (бездействие) Оператора, нарушающие права субъекта ПД, в судебном порядке;
• реализовывать иные права, предусмотренные законодательством Российской Федерации.

2.2. Обязанности субъекта персональных данных

Субъект персональных данных обязан:

• соблюдать требования настоящей Политики и законодательства в сфере персональных данных;
• предоставлять достоверную информацию о себе;
• при изменении персональных данных в течение разумного срока (не более 5 рабочих дней с момента изменения) уведомить об этом Оператора письменно, а в случаях, предусмотренных законом, — предоставить подтверждающие документы.

2.3. Права Оператора

Оператор вправе:

• самостоятельно устанавливать внутренние правила обработки персональных данных;
• проверять достоверность предоставленных субъектами ПД сведений, включая сверку с оригиналами документов при необходимости;
• запрашивать у субъектов ПД дополнительную информацию, если она требуется в силу законодательства, при этом информируя субъекта о возможных юридических последствиях отказа от её предоставления.

2.4. Обязанности Оператора

Оператор обязуется:

• использовать персональные данные строго в рамках заявленных целей их сбора;
• запрашивать согласие субъектов на обработку их данных в установленной законом форме, в том числе — в письменной форме в предусмотренных случаях;
• принимать и/или обеспечивать принятие правовых, организационных и технических мер для защиты персональных данных от несанкционированного доступа, утраты, изменения, распространения и иных неправомерных действий;
• осуществлять постоянный мониторинг уровня защищённости информационных систем, в которых обрабатываются персональные данные;
• информировать третьих лиц, получающих ПД, о целевом назначении таких данных и получать от них подтверждение соблюдения указанного условия;
• проводить обучение работников Оператора, задействованных в обработке ПД, требованиям законодательства о персональных данных.

3.1. Оператор осуществляет обработку персональных данных в соответствии со следующими принципами:

1. Законность и добросовестность обработки. Оператор предпринимает все необходимые меры для соблюдения требований законодательства и не обрабатывает персональные данные в случаях, когда такая обработка не допускается действующими нормами права либо не соответствует установленным целям. Использование данных во вред субъектам ПД исключается.
2. Целевой характер обработки. Обработка осуществляется только тех данных, которые необходимы для достижения заранее определённых и законных целей. Объём и содержание обрабатываемых данных должны соответствовать заявленным целям. Обработка данных, не совместимая с целями их получения или чрезмерная по отношению к этим целям, не допускается. Оператор не собирает и не использует персональные данные вне целей, обозначенных в настоящей Политике.
3. Несовместимость баз данных. Объединение информационных массивов, содержащих персональные данные, допускается только при совпадении целей обработки. Слияние баз, созданных для различных, не связанных между собой целей, исключается.
4. Точность и актуальность данных. Оператор принимает разумные меры для поддержания достоверности и актуальности обрабатываемых данных. Субъекты ПД имеют право на ознакомление со своими данными, а также на их уточнение, блокировку или удаление в случае обнаружения неточностей, устаревания или несоответствия законодательству — без необходимости обосновывать требование.
5. Ограничение сроков хранения. Хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъектов ПД, не дольше срока, необходимого для достижения целей обработки, если иное не установлено федеральным законом или договором, стороной которого является субъект.
6. Уничтожение данных. Персональные данные подлежат уничтожению после достижения целей их обработки, либо при утрате необходимости в их дальнейшем использовании, либо в случае отзыва субъектом ПД согласия, за исключением случаев, прямо предусмотренных законодательством.

4.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации и иных нормативных актов, регулирующих деятельность Оператора и определяющих правовые основания для обработки персональных данных.

4.2. Оператор вправе обрабатывать персональные данные в следующих случаях:

• При наличии согласия субъекта персональных данных на их обработку;
• В целях исполнения обязанностей и реализации полномочий, возложенных на Оператора международными договорами или законодательством Российской Федерации;
• При необходимости исполнения договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта или в его интересах;
• При необходимости защиты законных интересов Оператора либо третьих лиц, в том числе при достижении социально значимых целей, при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• Если персональные данные подлежат обязательному раскрытию либо опубликованию в соответствии с федеральным законом.

4.3. Обработка персональных данных, несовместимая с целями их сбора, не допускается.

4.4. Обработка персональных данных осуществляется Оператором в следующих целях:

• Обеспечение соблюдения трудового законодательства РФ;
• Ведение кадрового и бухгалтерского учета;
• Обеспечение соблюдения налогового законодательства РФ;
• Обеспечение соблюдения пенсионного законодательства РФ;
• Продвижение товаров, работ, услуг на рынке;
• Подготовка, заключение и исполнение гражданского-правового договора;

4.5. Основаниями для обработки персональных данных Оператором являются нормы действующего законодательства Российской Федерации, включая, но не ограничиваясь, положениями:

• законодательства в сфере труда, занятости, образования, социального обеспечения и пенсионного страхования;
• налогового и гражданского законодательства;
• законодательства в области бухгалтерского учета;
• нормативных правовых актов, устанавливающих требования к защите персональных данных при их обработке в информационных системах;
• внутренних документов Оператора, включая договоры и локальные нормативные акты, регулирующие отношения с субъектами персональных данных.

5.1. Получение персональных данных

5.1.1. В общем случае персональные данные предоставляются Оператору напрямую от субъектов посредством копирования оригиналов документов, заполнения форм учёта либо иными способами. В случаях, предусмотренных законодательством, Оператор может получать персональные данные от третьих лиц, включая государственные органы.

5.1.2. Обработка персональных данных осуществляется на основании письменного согласия субъекта, за исключением случаев, прямо установленных пунктами 2–11 части 1 статьи 6 Федерального закона «О персональных данных». В ситуациях, когда письменная форма не требуется, согласие может быть выражено через электронные каналы связи, включая интернет, электронную почту и факс.

5.2. Хранение персональных данных

5.2.1. Персональные данные подлежат хранению с соблюдением условий, исключающих возможность их утраты, искажения или несанкционированного доступа.

5.2.2. Под хранением понимается наличие персональных данных в информационных системах Оператора и на бумажных носителях.

5.2.3. Документы, содержащие персональные данные в бумажной форме, размещаются в помещениях с ограниченным доступом и соответствующим уровнем защиты.

5.2.4. Электронные персональные данные защищаются с применением технических и программных средств, включая контроль доступа и индивидуальные учётные записи.

5.3. Использование персональных данных

5.3.1. Доступ к персональным данным предоставляется исключительно тем сотрудникам Оператора, чьи должностные обязанности предусматривают работу с соответствующими данными, и только на период, необходимый для исполнения задач. В исключительных случаях по распоряжению генерального директора или иного уполномоченного лица может быть предоставлен временный доступ третьим лицам к ограниченному объёму данных.

5.4. Передача и поручение обработки персональных данных

5.4.1. Передача персональных данных третьим лицам допускается только в минимально необходимом объёме и исключительно в целях, соответствующих цели их сбора.

5.4.2. Передача данных в коммерческих и иных целях допускается только при условии предварительного уведомления субъекта и получения его согласия, за исключением случаев, установленных законом, в частности:

• если данные получены из общедоступных источников;
• при использовании в исследовательских, статистических, журналистских или творческих целях при условии соблюдения прав и интересов субъекта.

5.4.3. По мотивированному запросу уполномоченных органов государственная передача персональных данных без согласия субъекта допускается, если это предусмотрено действующим законодательством.

5.4.4. Передача персональных данных осуществляется с соблюдением мер, исключающих возможность несанкционированного доступа или иного неправомерного использования информации.

5.5. Условия и способы обработки персональных данных

5.5.1. Оператор осуществляет:

• неавтоматизированную обработку;
• автоматизированную обработку с использованием информационно-телекоммуникационных сетей или без таковой;
• смешанную обработку.

5.5.2. Обработка может включать: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (в том числе предоставление и распространение), блокирование, удаление, уничтожение данных.

5.5.3. Передача персональных данных третьим лицам без согласия субъекта допускается только в случаях, установленных законом или договором.

5.5.4. Распространение персональных данных осуществляется исключительно при наличии отдельного согласия субъекта. Такое согласие оформляется отдельно от иных форм согласия на обработку.

5.5.5. Предоставление данных государственным органам (налоговым, правоохранительным, социальным и т.д.) осуществляется в соответствии с действующим законодательством.

5.5.6. Оператор не обрабатывает биометрические персональные данные.

5.5.7. В случае сбора данных через интернет, Оператор обеспечивает хранение, систематизацию и обработку данных на территории Российской Федерации, включая использование серверов и дата-центров, расположенных в России.

5.5.8. Трансграничная передача персональных данных не осуществляется.

5.5.9. Уничтожение персональных данных исключает возможность их восстановления программными или физическими способами.

• 6.1. Оператор может использовать файлы cookie, веб-маяки, пиксели и иные аналогичные технологии в целях:
  • повышения удобства пользования сайтами и сервисами Оператора;
  • анализа пользовательской активности;
  • улучшения качества и безопасности предоставляемых услуг.
• 6.2. Файлы cookie представляют собой фрагменты данных, размещаемые на устройстве пользователя, которые позволяют сохранять пользовательские настройки, идентифицировать браузер и распознавать возвращающихся пользователей.
• 6.3. Пользователь вправе самостоятельно настроить параметры своего браузера на запрет хранения файлов cookie либо на уведомление о каждом их получении. Однако в этом случае работа отдельных функций сайта Оператора может быть ограничена.
• 6.4. Сбор, хранение и использование cookie осуществляется в соответствии с настоящей Политикой, а также иными внутренними документами Оператора, регулирующими защиту информации.
• 6.5. Согласие пользователя на использование файлов cookie предполагается при продолжении использования сайта без изменения настроек браузера, если иное не предусмотрено требованиями законодательства.

7.1. Оператор обеспечивает защиту персональных данных (ПД) от неправомерных действий, а также гарантирует соблюдение конфиденциальности информации.

7.2. Под защитой ПД понимается комплекс правовых, организационных и технических мер, направленных на:

• предотвращение неправомерного доступа, уничтожения, изменения, блокирования, копирования, предоставления и распространения ПД, а также иных неправомерных действий;
• соблюдение конфиденциальности информации ограниченного доступа;
• обеспечение реализации права субъектов ПД на доступ к своей информации.

7.3. Правовые меры, реализуемые Оператором, включают:

• разработку локальных нормативных актов, регламентирующих обработку и обеспечение безопасности ПД в соответствии с требованиями законодательства, включая Политику и Положение по обработке ПД;
• отказ от обработки ПД способами, не соответствующими целям и требованиям законодательства, указанным в Политике.

7.4. Организационные меры, принимаемые Оператором, включают:

• назначение ответственных лиц за организацию обработки и обеспечение безопасности ПД;
• ограничение круга работников, имеющих доступ к ПД, и внедрение системы разрешений на доступ;
• ознакомление сотрудников, работающих с ПД, с требованиями законодательства и внутренними нормативными документами по ПД;
• обучение сотрудников правилам работы с ПД и обеспечению их безопасности;
• регламентацию процессов обработки ПД;
• организацию учета и хранения материальных носителей ПД с целью предотвращения хищения, подмены, копирования и уничтожения;
• размещение технических средств обработки ПД на охраняемой территории;
• контроль за передвижением машинных носителей ПД;
• обеспечение условий для работы с конфиденциальными документами и базами данных, включая ограничение доступа к соответствующим помещениям;
• организацию уничтожения информации с ПД согласно законодательным требованиям (например, через шредер);
• контроль и ограничение доступа посторонних лиц в помещения, где ведется работа с ПД;
• расследование случаев несанкционированного доступа к ПД и применение мер дисциплинарной ответственности.

7.5. Технические меры защиты ПД включают:

• определение актуальных угроз безопасности ПД и уровня требуемой защищенности информационных систем;
• формирование моделей угроз и разработку системы защиты, соответствующей требованиям Правительства РФ;
• применение средств защиты информации с подтвержденной оценкой соответствия;
• проведение оценки эффективности мер безопасности до ввода информационной системы ПД в эксплуатацию;
• обнаружение и предотвращение несанкционированного доступа и компьютерных атак на информационные системы;
• восстановление ПД, повреждённых в результате нарушений безопасности;
• установление правил доступа к ПД и ведение учёта всех операций с ними;
• контроль соблюдения мер безопасности и уровня защищённости информационных систем;
• использование паролей для доступа к ПД;
• проведение внутренних проверок и мониторинга для обеспечения безопасности ПД;
• выполнение иных требований законодательства Российской Федерации в области защиты ПД.

8.1. Сотрудники Оператора, допустившие нарушения требований, регулирующих получение, обработку и защиту персональных данных, несут ответственность в соответствии с действующим законодательством Российской Федерации.

8.2. Каждый сотрудник Оператора, получающий в рамках своей работы документы, содержащие персональные данные субъектов, обязан обеспечивать сохранность таких носителей и конфиденциальность полученной информации.

9.1. В случае подтверждения неточности персональных данных или неправомерности их обработки, данные подлежат актуализации в порядке, установленном законодательством Российской Федерации, а обработка устаревших данных прекращается.

9.2. По достижении целей обработки персональных данных, а также при отзыве субъектом согласия на их обработку, персональные данные подлежат уничтожению, за исключением случаев, если:

• иное предусмотрено договором, стороной которого, выгодоприобретателем или поручителем является субъект персональных данных;
• оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основании законодательства о персональных данных или иных федеральных законов;
• иное предусмотрено иным соглашением между Оператором и субъектом персональных данных.

9.3. Для обеспечения соблюдения прав субъектов персональных данных, установленных законодательством Российской Федерации, в Операторе разработан и внедрён порядок работы с обращениями и запросами субъектов, а также порядок предоставления им информации, установленной законодательством.

9.4. Субъект персональных данных вправе направить Оператору запрос, касающийся обрабатываемых его персональных данных. Запрос должен содержать реквизиты основного документа, удостоверяющего личность субъекта или его представителя, сведения о дате выдачи и органе, выдавшем документ, подтверждающие участие субъекта в отношениях с Оператором сведения (например, номер договора, дата, условное обозначение), подпись субъекта или его представителя, дату обращения и суть запроса.

9.5. Сотрудники Оператора не вправе отвечать на запросы, связанные с передачей или разглашением персональных данных, по телефону или факсу, поскольку в этих случаях отсутствует возможность надлежащей идентификации личности обратившегося субъекта.

9.6. Запросы субъектов персональных данных принимаются по почтовому адресу Оператора: Россия, 119048, г. Москва, ул. Усачева, д.13, помещ. 3Н, либо на электронную почту: info@bprotection.ru.

10.1. Настоящая Политика подлежит пересмотру по мере необходимости. Обязательный пересмотр осуществляется при существенных изменениях законодательства Российской Федерации в области персональных данных.

10.2. В остальном, что не предусмотрено настоящей Политикой, Оператор руководствуется действующим законодательством Российской Федерации.

10.3. При внесении изменений в Политику учитываются:

• изменения в законодательстве Российской Федерации в сфере персональных данных;
• изменения в бизнес-процессах Оператора, влияющие на обработку персональных данных;
• изменения в информационной инфраструктуре Оператора;
• практика применения законодательства в России в области обработки и защиты персональных данных.