Политика об обработке персональных данных ООО «ГИС»
1.1. Настоящая Политика (далее — «Политика») разработано в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее — «Закон о Персональных данных»), Трудовым кодексом РФ и иным применимым законодательством и является локальным нормативным актом ООО «ГИС», ОГРН 1 197 847 060 070, ИНН 7 839 114 731, адрес — 197 022, Г. САНКТ-ПЕТЕРБУРГ, ВН.ТЕР.Г. МУНИЦИПАЛЬНЫЙ ОКРУГ АПТЕКАРСКИЙ ОСТРОВ, УЛ АКАДЕМИКА ПАВЛОВА, Д. 6, К. 1, СТР. 1, ПОМЕЩ. 23-Н, КАБ. № 1 (далее — «Оператор», «Организация»), определяющим политику Организации в отношении обработки персональных данных (далее — «персональные данные»), где Организация является Оператором.
1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных Оператором.
1.3. К настоящей Политике имеет доступ любой субъект персональных данных, в том числе с использованием сети «Интернет».
1.4. Организация периодически актуализирует настоящую Политику и вправе в одностороннем порядке в любой момент изменять ее условия. Организация рекомендует регулярно проверять содержание настоящей Политики на предмет ее возможных изменений.
1.5. Во всем ином, что не предусмотрено настоящей Политикой, Организация руководствуется положениями действующего законодательства Российской Федерации.
1.6. В настоящей Политике используются следующие понятия:
1.6.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
1.6.2. Оператор персональных данных — лицо, самостоятельно или совместно с иными лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Для целей настоящей Политики Организация, обрабатывая персональные данные, является оператором, если иное прямо не указано в Политике;
1.6.3. Субъект персональных данных — физическое лицо, чьи персональные данные обрабатываются.
1.6.4. Обработчик — любое лицо, которое на основании договора с оператором осуществляет обработку персональных данных по поручению такого оператора, действуя от имени и (или) в интересах последнего при обработке персональных данных. Оператор несет ответственность перед субъектом персональных данных за действия или бездействия обработчика. Обработчик несет ответственность перед оператором.
1.6.5. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
1.6.6. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
1.6.7. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
1.6.8. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
1.6.9. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
1.6.10. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
1.6.11. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
1.6.12. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
1.6.13. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.6.14. Иные термины, используемые в настоящей Политике, имеют значения, предусмотренные Законом о персональных данных и иным применимым законодательством, если настоящей Политикой прямо не предусмотрено иное.
1.7. Обработка персональных данных Оператором осуществляется на основе следующих принципов:
1.7.1. Наличие законных оснований для обработки персональных данных;
1.7.2. Ограниченность обработки персональных данных достижением конкретных, заранее определенных и законных целей;
1.7.3. Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в несовместимых между собой целях;
1.7.4. Обработка только тех персональных данных, которые отвечают целям их обработки;
1.7.5. Соответствие содержания и объема (недопущение избыточности) обрабатываемых персональных данных заявленным целям обработки;
1.7.6. Обеспечение точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных;
1.7.7. Срок обработки персональных данных для каждой цели обработки персональных данных устанавливаются с учетом соблюдения требований, в том числе условий обработки персональных данных, определенных законодательством РФ, и/или с учетом положений договора, стороной, по которому выступает субъект персональных данных, и/или согласия субъекта персональных данных на обработку его персональных данных, при этом обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если иное не установлено Законодательством Р Ф. Прекращение обработки персональных данных — достижение цели обработки, истечение сроков обработки, при наступлении иных законных оснований, предусмотренных законодательством Российской Федерации и локальными нормативными актами Оператора (в частности, отзыв согласия на обработку персональных данных, прекращение деятельности Оператора в результате реорганизации или ликвидации Оператора и др.).
2.1. Обработка Персональных данных осуществляется на основании:
2.1.1. Договоров, заключаемых с клиентом, субъектом персональных данных;
2.1.2. Полученного согласия субъекта персональных данных;
2.1.3. Соблюдения договорных и предусмотренных законом обязательств Оператора;
2.2. Субъект персональных данных самостоятельно, свободно, своей волей и в своих интересах дает Оператору информированное согласие на обработку своих персональных данных и иной информации до достижения целей их обработки или отзыва согласия.
3.1. Организация обрабатывает персональные данные в сети «Интернет» в качестве владельца соответствующих веб-сайтов и онлайн сервисов:
Цель обработки персональных данных | Категории субъектов персональных данных | Перечень персональных данных |
В целях регистрации на сайте online.gisspb.ru/ и мобильном приложении, а также получение доступа к предоставляемым сервисам. | Пользователи Сайтов, мобильных приложений и иных сервисов Организации | ID Пользователя Фамилия, имя, отчество; Место работы; Должность; Адрес электронной почты |
В целях предоставления Пользователю клиентской поддержки при возникновении вопросов о функционале сайта online.gisspb.ru/ и мобильного приложения, а также для улучшения качества сервисов, удобства их использования и разработки новых сервисов | Пользователи Сайтов, мобильных приложений и иных сервисов Организации | ID Пользователя Фамилия, имя, отчество; Адрес электронной почты; Контактный номер телефона |
В целях предоставления Пользователю технической поддержки при возникновении проблем, связанных с использованием online.gisspb.ru/ и мобильного приложения | Пользователи Сайтов, мобильных приложений и иных сервисов Организации | ID Пользователя Фамилия, имя, отчество; Адрес электронной почты; Контактный номер телефона |
В целях предоставление сервисов и услуг клиентам и/или потенциальным клиентам (физическим и юридическим лицам), включая взаимодействие по заключенным между Оператором и Пользователем договорам, соглашениям на сайтах online.gisspb.ru/, https://gisspb.ru/ и в мобильном приложении | Пользователи Сайтов, мобильных приложений и иных сервисов Организации | ID Пользователя Фамилия, имя, отчество; Дата рождения; Пол; Место работы; Должность; Контактный номер телефона; Адрес электронной почты; Фотографическое изображение лица |
В целях рассмотрения обращений для предоставления консультаций, помощи в решении вопросов, связанных с предоставлением сервисов и услуг клиентам и/или потенциальным клиентам на сайтах online.gisspb.ru/, https://gisspb.ru/ и мобильном приложении | Пользователи Сайтов, мобильных приложений и иных сервисов Организации | Фамилия, имя, отчество; Контактный номер телефона; Адрес электронной почты |
В целях получение рекламы, по указанным контактным данным на сайте online.gisspb.ru/, https://gisspb.ru/ и мобильном приложении | Пользователи Сайтов, мобильных приложений и иных сервисов Организации | Фамилия, имя, отчество; Дата рождения; Пол; Место работы; Должность; Контактный номер телефона; Адрес электронной почты; Никнеймы в мессенджерах |
В целях ознакомления пользователей сайтов с командой Организации, в том числе с представителями, контактирующими с пользователями для предоставления сервисов и услуг на сайтах online.gisspb.ru/, https://gisspb.ru/ и мобильном приложении | Работники Организации | Фамилия, имя, отчество Фотографическое изображение |
В целях обработки информации (резюме) кандидата на трудоустройство На сайте https://gisspb.ru/ | Кандидаты на замещение вакантных должностей Организации | Фамилия, имя, отчество, Пол; Контактный номер телефона; Адрес электронной почты. Иные данные, самостоятельно предоставленные кандидатом в адрес Организации и содержащиеся в резюме, в т. ч. Дата, месяц, год и место рождения; Сведения о гражданстве; Сведения о профессии; Сведения о должности; Сведения об образовании, квалификации, специальности; Сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости) |
3.2. Организация обрабатывает персональные данные при оформлении и регулировании трудовых и иных непосредственно связанных с ними отношений Организации.
Цель обработки персональных данных | Категории субъектов персональных данных | Перечень персональных данных |
Ведение кадрового документооборота, включая формирование, ведение и хранение личных дел работников, трудовых книжек и иных кадровых документов, а также ведение воинского учета и миграционного учета в Организации | Работники; Бывшие работники
| Фамилия, имя, отчество; Дата, месяц, год и место рождения; Пол; Данные документа, удостоверяющего личность; Сведения о гражданстве; Сведения, содержащиеся в документах миграционного учета (в отношении физических лиц, не являющихся гражданами Российской Федерации); Адрес и дата регистрации по месту жительства (месту пребывания); Адрес фактического проживания; Сведения о семейном положении; Сведения о профессии; Сведения о должности; Сведения об образовании, квалификации, специальности; Идентификационный номер налогоплательщика; Уникальный номер индивидуального лицевого счёта застрахованного лица (СНИЛС); Данные водительского удостоверения; Сведения о воинском учете, реквизиты документов воинского учета, а также сведения, содержащиеся в документах воинского учета; Сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости); Реквизиты банковской карты, реквизиты счета, номер лицевого счета; Сведения о временной нетрудоспособности и о состоянии здоровья; Фотоизображение; Контактный номер телефона; Адрес электронной почты; Иные данные, самостоятельно предоставленные работником, в том числе бывшим, в адрес Организации — например, сведения об индивидуальных достижениях для внесения в трудовую книжку |
Соблюдение и исполнение требований действующего трудового законодательства Российской Федерации (расчет и выплата заработной платы, осуществление иных причитающихся выплат в рамках трудового законодательства, предоставление отпусков, направление в командировки, привлечение к дисциплинарной или материальной ответственности и пр.) | Работники; Бывшие работники | Фамилия, имя, отчество; Дата, месяц, год и место рождения; Пол; Данные документа, удостоверяющего личность; Сведения о гражданстве; Адрес и дата регистрации по месту жительства (месту пребывания); Адрес фактического проживания; Сведения о профессии; Сведения о должности; Идентификационный номер налогоплательщика; Уникальный номер индивидуального лицевого счёта застрахованного лица (СНИЛС); Сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости); Сведения о доходах в Организации; Сведения о доходах с предыдущих мест работы; Сведения о проездных документах, бронировании гостиниц и иные сведения, предусмотренные законодательством и (или) необходимые для организации командировки; Реквизиты банковской карты, реквизиты счета, номер лицевого счета; Сведения о временной нетрудоспособности и о состоянии здоровья; Контактный номер телефона; Адрес электронной почты; Иные данные, самостоятельно предоставленные работником, в адрес Организации — например, сведения о конкретных жизненных обстоятельствах, являющихся основанием для осуществления Организацией причитающихся выплат в рамках трудового законодательства |
Связь с работниками и организация внутренних коммуникаций, в том числе посредством электронной почты, телефонной связи и мессенджеров, а также путем включения работников во внутрикорпоративные справочники Организации | Работники | Фамилия, имя, отчество; Дата, месяц, год рождения; Пол; Информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника в Организации; Сведения о деловых и иных личных качествах, носящие оценочный характер; Биографические сведения; Фотоизображение |
Включение в кадровый резерв, в том числе с последующим направлением информации об открытых вакансиях и карьерных мероприятиях | Работники; Бывшие работники; Кандидаты на замещение вакантных должностей Организации | Фамилия, имя, отчество, Пол; Дата, месяц, год и место рождения; Сведения о гражданстве; Сведения о профессии; Сведения о должности; Сведения об образовании, квалификации, специальности; Сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости); Контактный номер телефона; Адрес электронной почты. |
Обработка информации (резюме) кандидата на трудоустройство | Кандидаты на замещение вакантных должностей Организации | Фамилия, имя, отчество, Пол; Контактный номер телефона; Адрес электронной почты. Иные данные, самостоятельно предоставленные кандидатом в адрес Организации и содержащиеся в резюме, в т. ч. Дата, месяц, год и место рождения; Сведения о гражданстве; Сведения о профессии; Сведения о должности; Сведения об образовании, квалификации, специальности; Сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости) |
3.3. Организация обрабатывает персональные данные для осуществления обычной хозяйственной деятельности в качестве юридического лица:
Цель обработки персональных данных | Категории субъектов персональных данных | Перечень персональных данных |
В целях заключения, исполнение и расторжение иных гражданско-правовых договоров с третьими лицами | Физические лица — стороны гражданско- правовых договоров | Фамилия, имя, отчество; Пол; Дата, месяц, год и место рождения; Данные документа, удостоверяющего личность; Данные документа, удостоверяющего личность за пределами Российской Федерации (если субъект не является гражданином Российской Федерации); Адрес и дата регистрации по месту жительства (месту пребывания); Адрес фактического проживания; Контактный номер телефона; Адрес электронной почты; Реквизиты банковской карты |
Представители сторон гражданско-правовых договоров | Фамилия, имя, отчество; Должность | |
В целях проверки благонадежности физических лиц, с которыми Организация намеревается установить деловые отношения (например, заключить гражданско-правовой договор) | Физические лица, с которыми Организация намеревается установить деловые отношения | Фамилия, имя, отчество; Пол; Дата, месяц, год и место рождения; Данные документа, удостоверяющего личность; Данные документа, удостоверяющего личность за пределами Российской Федерации (если субъект не является гражданином Российской Федерации); Адрес и дата регистрации по месту жительства (месту пребывания); Адрес фактического проживания; Номер регистрации в качестве индивидуального предпринимателя и прочие данные, содержащиеся в ЕГР и иных открытых (публичных) реестрах (если физическое лицо также является индивидуальным предпринимателем); Сведения о применении особых режимов налогообложения (если физическое лицо также является индивидуальным предпринимателем); Фактическое место осуществления предпринимательской деятельности (при осуществлении такой деятельности); контактный номер телефона; Адрес электронной почты; Реквизиты банковской карты |
В целях выдачи доверенностей представителям Организации | Потенциальные представители Организации, в том числе работники Организации | Фамилия, имя, отчество; Должность (в отношении работников Организации); данные документа, удостоверяющего личность; Данные документа, удостоверяющего личность за пределами Российской Федерации (если субъект не является гражданином Российской Федерации); Контактный номер телефона; Адрес электронной почты |
В целях участия в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах | Пользователи Сайтов и иных сервисов Организации | Фамилия, имя, отчество, Пол; Дата и место рождения; Данные документа, удостоверяющего личность; Адрес и дата регистрации по месту жительства (месту пребывания); Адрес фактического проживания; Идентификационный номер налогоплательщика; Контактный номер телефона; Адреса электронной почты; Реквизиты банковской карты |
Правовое основание обработки персональных данных | Срок обработки и хранения персональных данных |
С согласия субъекта персональных данных на обработку его персональных данных | В течение срока, на который было дано согласие на обработку персональных данных |
Для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей | В течение срока, установленного соответствующими международными договорами или законами |
При необходимости обработки персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом | В течение срока, установленного соответствующими законами |
Для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве | В течение срока, необходимо для исполнения соответствующего акта |
В связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах | В течение срока участия в соответствующем судопроизводстве, включая сроки обжалования (оспаривания) судебных актов, кроме случаев, когда более длительный срок обработки персональных данных установлен действующим законодательством Российской Федерации |
Для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем | В течение срока действия такого договора, кроме случаев, когда более длительный срок обработки персональных данных установлен действующим законодательством Российской Федерации или договором |
Для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно | До момента, когда получение согласия субъекта персональных данных станет возможным или когда соответствующие основания, угрожающие жизни, здоровью или иным жизненно важным интересам, отпадут (в зависимости от того, какое обстоятельство наступит раньше) |
Для осуществления прав и законных интересов оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных | В течение срока, необходимого для осуществления прав и обеспечения законных интересов Конкретный срок определяется Организацией с учетом положений настоящей Политики, внутренних документов и локальных нормативных актов Организации, а также принципов обработки персональных данных и требований действующего законодательства Российской Федерации, в том числе в части прекращения обработки персональных данных при достижении конкретных, заранее определенных и законных целей такой обработки |
4.1. Если иное не предусмотрено законодательством Российской Федерации, Организация прекращает обработку персональных данных (в отношении любой из заявленных выше целей) и уничтожает их в случаях:
- Ликвидации Организации;
- Реорганизации Организации, влекущей прекращение его деятельности;
- Отпадения правовых оснований обработки персональных данных и/или достижения целей обработки персональных данных.
- Отзыва согласия субъектом персональных данных
5.1. Обработка осуществляется путем совершения Оператором и третьими лицами по его поручению таких действий, как сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Обработка может производиться как автоматизированным, так и неавтоматизированным способами.
5.2. Трансграничная передача персональных данных Оператором не осуществляется.
5.3. В случае необходимости распространения персональных данных согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
5.4. Оператор обрабатывает все персональные данные, указанные в Политике, с использованием средств автоматизации и без использования таковых (смешенных путем).
5.5. Оператор при обработке персональных данных обеспечивает их охрану от несанкционированного доступа и распространения в соответствии с внутренними правилами и регламентами, применимым законодательством в области охраны данных.
5.6. В случае достижения цели обработки персональных данных обработка таких персональных данных должна быть прекращена, а персональные данные должны быть уничтожены в тридцатидневный срок с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.
5.7. В случае отзыва субъектом согласия на обработку его персональных данных обработка таких персональных данных должна быть прекращена, и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, такие персональные данные подлежат уничтожению в течение тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.
5.8. В случае выявления неправомерной обработки персональных данных обработка таких персональных данных должна быть прекращена в течение трех рабочих дней. Если обеспечить правомерность обработки персональных данных невозможно, персональные данные подлежат уничтожению в течение дести рабочих дней с даты выявления неправомерной обработки.
5.9. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного разделе 6, должно быть обеспечено блокирование таких персональных данных и их уничтожение в срок не более шести месяцев, если иной срок не установлен законодательством Российской Федерации.
5.10. Оператор вправе не удалять данные субъекта персональных данных, необходимые для хранения в соответствии с действующим законодательством Российской Федерации. В этом случае Оператор сохраняет такие данные в обезличенном виде в своих системах баз данных.
6.1. Любой субъект, персональные данные которого обрабатываются Оператором, имеет право доступа к своим персональным данным, в том числе к следующей информации:
6.1.1. Подтверждение факта обработки персональных данных;
6.1.2. Правовые основания и цели обработки персональных данных;
6.1.3. Цели и применяемые способы обработки персональных данных;
6.1.4. Наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании законодательства Российской Федерации;
6.1.5. Перечень обрабатываемых персональных данных, относящиеся к соответствующему субъекту, и источник их получения;
6.1.6. Сроки обработки персональных данных и сроки их хранения;
6.1.7. Порядок осуществления субъектом прав, предусмотренных законодательством Российской Федерации;
6.1.8. Наименование лица, осуществляющего обработку персональных данных по поручению оператора, в случае если обработка поручена третьему лицу
6.1.9. Информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона № 152-ФЗ «О персональных данных».
6.2. Субъект персональных данных имеет право на получение сведений. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.3. Запрос субъекта или его представителя на получение информации, касающейся обработки персональных данных должен содержать
6.3.1. Номер основного документа, удостоверяющего личность субъекта или его представителя;
6.3.2. Сведения о дате выдачи указанного документа и выдавшем его органе;
6.3.3. Сведения, подтверждающие участие субъекта в отношениях с Оператором (номер договора, дата заключения договора или иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
6.3.4. Подпись субъекта персональных данных или его представителя.
6.4. Сведения, указанные в п. 6.1. Политики, предоставляются субъекту персональных данных или его представителю оператором в течение десяти рабочих дней с момента обращения либо получения оператором запроса субъекта персональных данных или его представителя.
6.5. В ответе на запрос не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. Срок ответа на запрос может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта мотивированного уведомления с указанием причин продления срока предоставления запрашиваемых сведений.
6.6. Субъект вправе повторно обратиться в Оператору с запросом сведений, указанных в п. 6.1. Политики, не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса.
6.7. Субъект вправе требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если обрабатываемые Оператором персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной Оператором цели обработки.
6.8. Субъект вправе отозвать свое согласие на обработку персональных данных, если такое было дано. Отзыв согласия направляется субъектом в адрес Оператора и должен содержать сведения, указанные в п 6.3 Политики. В случае отзыва субъектом согласия на обработку персональных данных Оператора вправе продолжить обработку персональных данных без согласия субъекта при наличии оснований, предусмотренных законодательством Российской Федерации или договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
6.9. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
6.9.1. Обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
6.9.2. Обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
6.9.3. Обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
6.9.4. Доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
6.9.5. Обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
6.10. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к Оператору.
6.11. Требование из п. 6.10. Политики должно включать в себя:
6.11.1. Фамилию, имя, отчество (при наличии),
6.11.2. Контактную информацию (номер телефона,
6.11.3. Адрес электронной почты или почтовый адрес) субъекта персональных данных,
6.11.4. А также перечень персональных данных, обработка которых подлежит прекращению.
6.12. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных.
6.13. Запрос или обращение субъекта или его представителя для получения сведений об обработке своих персональных данных; отзыв согласия на обработку своих персональных данных; требование о прекращении обработки своих персональных данных; запрос о реализации иных прав субъекта персональных данных в соответствии с применимым законодательством должен быть направлен Оператору путём предоставления подлинника по адресу нахождения Оператора Санкт-Петербург, ул. Академика Павлова, д. 6 к.1 и путем направления электронного документа (или скан-копии заявления) на адрес электронной почты office@gisspb.ru.
7.1. Организация вправе поручить обработку персональных данных Обработчикам на основании заключаемых с ними договоров. Это означает, что Организация делегирует часть своих функций определенному им лицу, которое при этом действует от имени или в интересах Организации.
7.2. Перечень таких лиц размещен на сайте https://gisspb.ru/perechen-tretih-lits.
7.3. Организация привлекает таких лиц, когда не обладает необходимым уровнем знаний или ресурсов для достижения соответствующего результата (например, когда Организации необходимы дополнительные вычислительные мощности для эксплуатации своих сайтов и мобильных приложений, он может арендовать выделенные серверы у третьего лица в отсутствие собственных серверов) или когда ему более эффективно с точки зрения собственных трудозатрат и качества деятельности передать отдельные функции на аутсорсинг (например, если количество пользователей сайтов и мобильных приложений Организация резко возрастет, ему может потребоваться обратиться к третьему лицу за услугами контактного центра по работе с клиентами).
7.4. Обработчики обязуются соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных» (включая ст. 18.1 и ч. 5 ст. 18), иными законами и подзаконными актами.
7.5. Обработчик не обязан получать согласие субъекта персональных данных на обработку его персональных данных. Если для обработки персональных данных по поручению Организации необходимо получение согласия субъекта персональных данных, такое согласие получает непосредственно Организация.
7.6. При наличии соответствующих правовых оснований, установленных законодательством Российской Федерации, Организация вправе осуществлять передачу персональных данных третьим лицам без поручения таким лицам обработки персональных данных.
7.7. К указанным лицам, например, относятся банки, осуществляющие расчеты с контрагентами Организации, перевозчики и экспедиторы, осуществляющие доставку заказов в соответствии со своими правилами, контрагенты Организации, которым Организация передает данные доверенностей своих представителей, государственные органы, запрашивающие персональные данные в пределах своей компетенции, и т. д.
7.8. Такие лица не обрабатывают персональные данные от имени Организации или в его интересах, поскольку имеют собственные цель и правовые основания такой обработки (например, банки принимают платежные документы в соответствии с требованиями банковского законодательства, а Организация не вправе вмешиваться в их деятельность).
8.1. Организация получает и обрабатывает персональные данные автоматически с помощью метрических программ, используемых на сайтах и мобильных приложениях. Для работы с такими данными Организация использует cookies.
8.2. Cookies — это небольшие текстовые файлы, содержащие некоторую информацию, которые загружаются на пользовательское устройство (ПК, смартфон и т. д.) Во время просмотра веб-страницы.
8.3. Cookies позволяют сайтам распознавать пользовательские устройства, определять пользовательские предпочтения, а также собирать статистику того, как пользователи взаимодействуют с сайтами, для улучшения опыта использования такого сайта или мобильного приложения или для устранения различных ошибок или багов, которые могут периодически возникать. При этом перечень целей, для достижения которых необходимы cookies, не является исчерпывающим и зависит от конкретного сайта, который пользователь посещает или иным образом использует.
8.4. На сайтах и мобильных приложениях используются cookie-файлы различной направленности, которые могут создаваться самим Сервисом так и третьими лицами-партнерами, предоставляющими, например, функционально-технические решения в рамках сайта или мобильного приложения.
8.5. Cookie-файлы и аналогичные технологии позволяют персонализировать настройки Сервиса и показа рекламной информации, сделать сайты и мобильные приложения более удобным и оптимизированным для Пользователей, сохраняя информацию о совершенных действиях, например, информацию об авторизации в аккаунте, просмотренном/востребованном рекламном объявлении, обезличенную информацию об интересах, эффективности пользовательского интерфейса на той или иной странице, выборе языка или активации либо деактивации отдельных возможностей.
8.6. Виды cookie-файлов, используемых на сайтах и мобильных приложениях (включая cookie-файлы и аналогичные технологии третьих лиц) для достижения целей обработки, можно разделить на следующие категории:
Категория | Описание и цель использования |
Технические cookies | Эти cookies необходимы для работы веб-сайтов и онлайн-сервисов Организации, а без них они не могут надлежащим образом функционировать. Технические cookies позволяют пользователям перемещаться по таким сайтам и сервисам, просматривать их различные разделы, заполнять формы и прожимать там чекбоксы |
Аналитические cookies | Эти cookies собирают информацию о том, как часто пользователи посещают веб-сайты и онлайн-сервисы Организации, какие разделы просматривают, на какие ссылки нажимают и как в целом перемещаются по таким сайтам и сервисам |
Cookies предпочтений | Эти cookies запоминают настройки и выборы, которые пользователи делают на веб-сайтах и в онлайн-сервисах Организации (язык, регион, поисковые запросы и т. д.) И тем самым обеспечивают получение пользователями персонализированного опыта при использовании таких сайтов и сервисов |
Маркетинговые cookies | Эти cookies собирают информацию о действиях, совершаемых пользователями как на веб-сайтах и в онлайн-сервисах Организации, так и на сайтах третьих лиц, чтобы показывать наиболее актуальную для пользователей рекламу, оценивать эффективность такой рекламы и ограничивать количество рекламных показов для таких пользователей на сайтах и в сервисах Организации |
8.7. Пользователь может самостоятельно настроить параметры установки либо блокировки, отказаться от cookie-файлов в конфигурациях браузера, либо устройства, через которое осуществляется доступ к сайту или мобильному приложению. Информация о настройке установок, блокировке и удалении cookie-файлов содержится в справочных разделах браузера или устройства Пользователя.
8.8. Удаление или запрет установки определенных cookie-файлов может стать причиной недоступности возможностей отдельных частей сайта или мобильного приложения.
9.1. С целью выполнения Оператором обязанностей, предусмотренных законодательством Российской Федерации о персональных данных, принимаются следующие меры:
9.1.1. Назначение лица, ответственного за Оператора обработки персональных данных;
9.1.2. Издание документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
9.1.3. Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
9.1.4. Осуществление внутреннего контроля соответствия обработки персональных требованиям законодательства Российской Федерации;
9.1.5. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации;
9.1.6. Ознакомление работников Оператора с положениями законодательства Российской Федерации и локальными актами Оператора
9.1.7. В случае выявления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператора уведомляет Роскомнадзор:
- в течение 24 часов с момента выявления о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, включая сведения о лице, уполномоченном на взаимодействие по вопросам, связанным с выявленным инцидентом;
- в течение 72 часов с момента выявления о результатах внутреннего расследования инцидента, а также о лицах, действия которых стали причиной инцидента (при наличии).
10.1. Организация при осуществлении обработки персональных данных:
10.1.1. Принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации, внутренних документов и локальных нормативных актов Организации в области персональных данных;
10.1.2. Принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
10.1.3. Назначает лицо, ответственное за организацию обработки персональных данных в Организации;
10.1.4. Издает внутренние документы, определяющие политику Организации в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
10.1.5. Осуществляет ознакомление работников Организации, его филиалов, представительств и структурных подразделений, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации, внутренних документов и локальных нормативных актов Организации в области персональных данных, в том числе с требованиями к защите персональных данных, и обучение указанных работников;
10.1.6. Проводит регулярные обязательные тренинги для своих работников по вопросам персональных данных;
10.1.7. Осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям законодательства Российской Федерации и принятым в соответствии с ним нормативным правовым актам, иным требованиям к защите персональных данных, настоящей Политике, внутренним документам и локальным нормативным актам Организации в области персональных данных;
10.1.8. Публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
10.1.9. Прекращает обработку персональных данных и уничтожает их в случаях, предусмотренных законодательством Российской Федерации;
10.1.10. Совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных.
10.2. Организация при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Организация регулярно пересматривает и актуализирует принимаемые меры для обеспечения наилучшей защищенности обрабатываемых персональных данных — такие меры описываются в настоящей Политике, внутренних документах и локальных нормативных актах Организации.
10.3. К таким мерам, в частности, относится:
10.3.1. Разработка моделей угроз;
10.3.2. Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
10.3.3. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
10.3.4. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
10.3.5. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
10.3.6. Обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
10.3.7. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
10.3.8. Установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
10.3.9. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
10.3.10. Учет машинных носителей персональных данных;
10.3.11. Организация пропускного и внутриобъектового режимов на территории Организации;
10.3.12. Размещение технических средств обработки персональных данных в пределах охраняемой территории;
10.3.13. Поддержание технических средств охраны, сигнализации в постоянной готовности;
10.3.14. Проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных.
11.1. За нарушение требований, установленных законодательством Российской Федерации, Политикой обработки и защите персональных данных и другими локальными актами Оператора, работники и иные лица, получившие доступ к персональным данным, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с Федеральными законами Российской Федерации.