ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общие положения

1.1. Настоящая Политика Акционерного общества «Транссеть» в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика действует в отношении всех персональных данных, которые обрабатывает Акционерное общество «Транссеть» (далее - Оператор, АО «Транссеть»), ИНН 5262084279, адрес юридического лица: 107078, г. Москва, ул. Новая Басманная, д. 23, стр. 2, эт. 1, комн. 10.

1.3. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети «Интернет» на сайте Оператора, по адресу: https://transset.ru/policy/.

1.4. Оператор вправе вносить в данную Политику изменения, которые вступают в силу с момента опубликования Политики в новой редакции на сайте Оператора.

2. Термины и принятые сокращения

Персональные данные (далее также - ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Персональные данные, разрешенные субъектом персональных данных для распространения – это ПД, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку ПД, разрешенных субъектом персональных данных для распространения.

Оператор персональных данных (Оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПД, а также определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД. Применительно к настоящей Политике функции Оператора выполняет АО «Транссеть».

Субъект персональных данных (субъект ПД) - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая:

• сбор;
• запись;
• систематизацию;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передачу (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление;
• уничтожение.

Fвтоматизированная обработка персональных данных – обработка ПД с помощью средств вычислительной техники.

Предоставление персональных данных – действия, направленные на раскрытие ПД определенному лицу или определенному кругу лиц.

Распространение персональных данных - действия, направленные на раскрытие ПД неопределенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения ПД).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПД в информационной системе ПД и (или) в результате которых уничтожаются материальные носители ПД.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПД конкретному субъекту ПД.

Информационная система персональных данных – совокупность содержащихся в базах данных ПД и обеспечивающих их обработку, информационных технологий и технических средств.

Трансграничная передача персональных данных – передача ПД на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Сайт – совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети «Интернет» и расположенной по адресу: https://transset.ru/.

IP-адрес – номер, присваиваемый компьютеру субъекта ПД при каждом выходе в «Интернет», позволяющий компьютерам и серверам распознавать друг друга и обмениваться информацией.

Файлы cookies – небольшие текстовые файлы, передаваемые с Сайта на устройство субъекта ПД, позволяющие Сайту запомнить информацию о субъекте ПД для того, чтобы в последующем сделать более удобной навигацию по Сайту, персонализировать услуги для субъекта ПД, анализировать в обобщенной форме модели трафика Сайта, а также сохранять в анонимной форме маршруты сессий навигации субъектов ПД по Сайту.

Актуальные угрозы безопасности ПД - совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

Уровень защищенности ПД - совокупность требований (мер), исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПД при их обработке в ИСПД.

ПД – персональные данные (в соответствующем падеже).

РФ – Российская Федерация.

СЗПД – средства защиты персональных данных.

ИСПД – информационная система персональных данных.

Закон о персональных данных - Федеральный закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Роскомнадзор - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.

3. Порядок и условия обработки и хранение персональных данных

3.1. Обработка ПД осуществляется Оператором в соответствии с требованиями законодательства РФ.

3.2. Обработка ПД осуществляется с согласия субъектов ПД на обработку их ПД, а также без такового в случаях, предусмотренных законодательством РФ.

3.3. Согласие на обработку ПД, разрешенных субъектом ПД для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его ПД.

3.4. Согласие на обработку ПД, разрешенных субъектом ПД для распространения, может быть предоставлено Оператору:

· непосредственно;

· с использованием информационной системы уполномоченного органа по защите прав субъектов ПД.

3.5. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку ПД.

3.6. К обработке ПД допускаются работники Оператора, в должностные обязанности которых входит обработка ПД.

3.7. Обработка ПД осуществляется путем:

·     получения ПД в устной и письменной форме непосредственно с согласия субъекта ПД на обработку и (или) распространение его ПД;

·     внесения ПД в журналы, реестры и информационные системы Оператора;

·     использования иных способов обработки ПД.

3.8. Не допускается раскрытие третьим лицам и распространение ПД без согласия субъекта ПД, если иное не предусмотрено федеральным законом.

3.9. Передача ПД органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства РФ.

3.10. Оператор принимает необходимые правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

·     определяет угрозы безопасности ПД при их обработке;

·     принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты ПД;

·     назначает лиц, ответственных за обеспечение безопасности ПД;

·     создает необходимые условия для работы с ПД;

·     организует учет документов, содержащих ПД;

·     организует работу с информационными системами, в которых обрабатываются ПД;

·     хранит ПД в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;

·     организует обучение работников Оператора, осуществляющих обработку ПД.

3.11. Оператор осуществляет хранение ПД в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором или соглашением.

3.12. При сборе ПД, в том числе посредством информационно телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, указанных в Законе о персональных данных.

3.13. АО «Транссеть» не осуществляет трансграничную передачу ПД.

3.14. Хранение ПД.

3.14.1. ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

3.14.2. ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.

3.14.3. ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.

3.14.4. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.

3.14.5. Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.15. Уничтожение ПД.

3.15.1. Уничтожение документов (носителей), содержащих ПД, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

3.15.2. ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.

3.15.3. Факт уничтожения ПД подтверждается документально актом об уничтожении ПД.

3.15.4. Порядок уничтожения ПД регулируется Положением о порядке уничтожения персональных данных в АО «Транссеть».

3.16. Лица, передавшие Оператору сведения о другом субъекте ПД, в том числе через Сайт, не имея при этом согласия субъекта, чьи ПД были переданы, несут ответственность в соответствии с законодательством РФ.

4. Цели обработки ПД

4.1. Цели обработки ПД:

4.1.1. Обработке подлежат только ПД, которые отвечают целям их обработки.

4.1.2. Обработка Оператором ПД осуществляется в следующих целях:

• обеспечение соблюдения Конституции, федеральных законов и иных нормативных правовых актов РФ;
• осуществление своей деятельности в соответствии с уставом АО «Транссеть»;
• ведение кадрового делопроизводства;
• ведение воинского учета работников Оператора;
• содействие работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества;
• привлечение и отбор кандидатов на работу у Оператора;
• организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
• заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
• осуществление гражданско-правовых отношений с клиентами, партнерами, контрагентами;
• ведение бухгалтерского учета;
• обеспечение участия Оператора в закупках;
• осуществление пропускного режима;
• обеспечение дополнительного медицинского страхования работников и членов их семей в случаях, предусмотренных локальными нормативными актами Оператора;
• обеспечение представительства интересов Оператора в отношениях с физическими и юридическими лицами независимо от организационно-правовой формы;
• обеспечения личной безопасности работников Оператора;
• обеспечение сохранности имущества работников Оператора и Оператора;
• обеспечение участия Оператора в конференциях, форумах, ярмарках вакансий, иных мероприятиях;
• обработка запросов пользователей сайта Оператора;
• проведение статистических, маркетинговых и иных исследований, на основе обезличенных данных;
• улучшение качества товаров, работ, услуг Оператора.

 5. Категории субъектов ПД и ПД, обрабатываемые Оператором.

5.1. Физические лица, состоящие с АО «Транссеть» в трудовых отношениях (работники);

Состав ПД работника, обрабатываемых Оператором:

· фамилия, имя, отчество;

· дата рождения

· место рождения

· пол, возраст;

· гражданство;

· индивидуальный номер налогоплательщика (ИНН);

· страховой номер индивидуального лицевого счета (СНИЛС);

· сведения об образовании, квалификации, профессиональной подготовке, повышении квалификации;

· адрес регистрации по месту жительства;

· состояние в браке, состав семьи;

· стаж работы;

· сведения о воинском учете;

· сведения о заработной плате;

· паспортные данные;

· сведения о социальных льготах;

· занимаемая должность;

· наличие судимостей (в случаях, когда ТК РФ предусматривает получение такой информации);

· номера телефонов;

· адрес электронной почты;

· сведения, содержащиеся в трудовом договоре;

· сведения, содержащиеся в приказах по личному составу;

· сведения, содержащиеся в личных делах, трудовых книжках и сведениях о трудовой деятельности;

· сведения, содержащиеся в основаниях к приказам по личному составу;

· сведения, содержащиеся в делах, содержащих материалы по повышению квалификации и переподготовке работников, их аттестации, служебным расследованиям;

· сведения, содержащиеся в копиях отчетов, направляемых в органы статистики;

· сведения о результатах медицинского обследования на предмет годности к осуществлению трудовых обязанностей (в случаях, предусмотренных законодательством РФ);

· сведения об инвалидности (в случае предусмотренного законодательством РФ квотирования рабочих мест);

· фотографии работника;

· видеоизображения работника;

· сведения, полученные по результатам записи служебных телефонных переговоров работников отдела оперативной поддержки пользователей (заказчиков и лицензиатов Оператора);

· учетные данные для входа в служебные системы (программное обеспечение) Оператора, используемые работниками для выполнения должностных обязанностей.

 Особенности обработки ПД работников Оператора установлены Положением об обработке персональных данных работников АО «Транссеть».

5.2. Физические лица, уволившиеся из АО «Транссеть» или прекратившие трудовые отношения с АО «Транссеть» по иной причине.

Состав ПД, обрабатываемых Оператором:

• сведения об НДФЛ, страховых взносах и прочие сведения, которые оператор обязан хранить в соответствии с Налоговым законодательством РФ;
• личные данные о работнике, которые работодатель обязан хранить после прекращения трудовых отношений в случаях, предусмотренных Трудовым кодексом РФ, Федеральным законом № 125-ФЗ от 22.10.2004 г. «Об архивном деле в Российской Федерации», Федеральным законом № 255-ФЗ от 29.12.2006 г. «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством», иными нормативно-правовыми актами РФ».

5.3. Физические лица, являющиеся соискателями на замещение вакантных должностей; физические лица, поступающие на работу в АО «Транссеть».

Состав ПД, обрабатываемых Оператором:

· сведения, включенные в резюме, размещенные соискателем на специализированных ресурсах в сети «Интернет» или направленные Оператору.

5.4.  Физические лица (в т.ч. индивидуальные предприниматели), состоящие с АО «Транссеть» в гражданско-правовых отношениях.

Состав ПД, обрабатываемых Оператором:

· фамилия, имя, отчество;

· место жительства;

· паспортные данные;

· пол, возраст;

· номера телефонов;

· адрес электронной почты;

· индивидуальный номер налогоплательщика (ИНН);

· страховой номер индивидуального лицевого счета (СНИЛС);

· сведения, содержащиеся в договоре (на выполнение работ, оказание услуг и т.п.);

· сведения, содержащиеся в копиях отчетов, направляемых в органы статистики.

5.5. Члены семей работников АО «Транссеть» - в объеме, предусмотренном унифицированной формой № Т-2, утвержденной постановлением Госкомстата Российской Федерации от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты», либо в случаях, установленных законодательством РФ (получение алиментов, оформление социальных выплат, и т.д.).

Состав ПД, обрабатываемых Оператором:

· степень родства;

· фамилия, имя, отчество;

· год рождения;

· число и месяц рождения.

· сведения, содержащиеся в документах, предоставляемых работником в отношении члена его семьи в случаях, предусмотренных законодательством РФ (для получения алиментов, оформление социальных выплат, и т.д.).

 5.6. Физические лица, состоящие в трудовых и гражданско-правовых отношениях с контрагентами АО «Транссеть».

Состав ПД, обрабатываемых Оператором:

· фамилия, имя, отчество;

· должность

· номер телефона;

· адрес электронной почты;

· сведения, полученные по результатам записи служебных телефонных переговоров работников отдела оперативной поддержки пользователей (заказчиков и лицензиатов Оператора).

В соответствии с ч.4 ст.6 Закона о персональных данных оператором по отношению к данной категории субъектов ПД выступает контрагент АО «Транссеть» (т.е., лицо, с которым субъект ПД непосредственно состоит в трудовых или гражданско-правовых отношениях), а АО «Транссеть» освобождается от обязанности получать согласие субъекта данной категории на обработку его ПД.

5.7.  Физические лица, являющиеся пользователями Сайта Оператора.

Состав ПД, обрабатываемых Оператором:

· имя;

· номер телефона;

· идентификатор пользователя, хранимый в cookie.

5.8. Физические лица, являющиеся акционерами АО «Транссеть».

Состав ПД, обрабатываемых Оператором:

· фамилия, имя, отчество;

· дата рождения;

· место рождения;

· пол, возраст;

· гражданство;

· индивидуальный номер налогоплательщика (ИНН);

· страховой номер индивидуального лицевого счета (СНИЛС);

· номер расчетного счета;

· адрес регистрации по месту жительства;

· состояние в браке, состав семьи;

· паспортные данные;

· номера телефонов;

· адрес электронной почты;

· сведения, содержащиеся в решениях, протоколах и иных документах Общего собрания акционеров АО «Транссеть», в заявлениях акционеров АО «Транссеть».

5.9. Оператором в целях обеспечения личной безопасности физических лиц и сохранности имущества физических лиц и Оператора, в помещениях Оператора может осуществляться видеофиксация с видеокамер наблюдения. В таких случаях Оператор информирует работников и иных физических лиц, посещающих помещения Оператора, о местах расположения размещенных Оператором камер видеонаблюдения посредством информационных табличек.

6. Основные права субъекта ПД и обязанности Оператора

6.1. Основные права субъекта ПД.

Субъект имеет право на доступ к его ПД и следующим сведениям:

· подтверждение факта обработки ПД Оператором;

· правовые основания и цели обработки ПД;

· цели и применяемые Оператором способы обработки ПД;

· наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Оператором или на основании федерального закона;

· сроки обработки ПД, в том числе сроки их хранения;

· порядок осуществления субъектом ПД прав, предусмотренных Законом о персональных данных;

· наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Оператора, если обработка поручена или будет поручена такому лицу;

· обращение к Оператору и направление ему запросов;

· обжалование действий или бездействия Оператора.

Субъект ПД может реализовать права по получению информации, касающейся обработки его ПД, а также права по уточнению его ПД, их блокированию или уничтожению, обратившись к Оператору с соответствующим запросом с соблюдением требований п. 7.1 – 7.3 настоящей Политики.

6.2. Обязанности Оператора.

Оператор обязан:

· при сборе ПД предоставить информацию об обработке ПД;

· в случаях если ПД были получены не от субъекта ПД, уведомить субъекта ПД в случаях, предусмотренных законодательством;

· при отказе в предоставлении ПД субъекту разъясняются последствия такого отказа;

· опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;

· принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;

· давать ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД;

· в случае достижения цели обработки ПД прекратить обработку ПД и уничтожить ПД в срок до 30 (тридцати) дней с даты достижения цели обработки ПД (если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, иным соглашением между Оператором и субъектом ПД или если Оператор не вправе осуществлять обработку ПД без согласия субъекта ПД на законных основаниях);

· в случае отзыва субъектом ПД согласия на обработку его ПД Оператор обязан прекратить их обработку и в случае, если сохранение ПД более не требуется для целей обработки ПД, уничтожить ПД в срок до 30 (тридцати) дней с даты поступления указанного отзыва (если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, иным соглашением между Оператором и субъектом ПД либо если Оператор не вправе осуществлять обработку ПД без согласия субъекта ПД на законных основаниях);

· в случае обращения субъекта ПД к Оператору с требованием о прекращении обработки ПД Оператор обязан прекратить их обработку в срок до 10 (десяти) рабочих дней с даты получения Оператором соответствующего требования, за исключением случаев, когда Оператор на законных основаниях вправе обрабатывать ПД без согласия субъекта ПД. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Оператором в адрес субъекта ПД мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

· в случае отсутствия возможности уничтожения персональных данных в течение указанных сроков, Оператор блокирует такие ПД и обеспечивает их уничтожение в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами. 

7. Актуализация, исправление, удаление и уничтожение ПД, ответы на запросы субъектов на доступ к ПД

7.1. Подтверждение факта обработки ПД Оператором, правовые основания и цели обработки ПД, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту ПД или его представителю при обращении либо при получении запроса субъекта ПД или его представителя.

В предоставляемые сведения не включаются ПД, относящиеся к другим субъектам ПД, за исключением случаев, когда имеются законные основания для раскрытия таких ПД.

7.2. Запрос на бумажном носителе направляется на почтовый адрес Оператора: 603002, г. Нижний Новгород, ул. Литвинова, д. 74, корп. 30, оф.55.

Запрос также может быть направлен Оператору в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.

7.3. Запрос должен содержать:

· номер основного документа, удостоверяющего личность субъекта ПД или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

· сведения, подтверждающие участие субъекта ПД в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПД Оператором;

· подпись субъекта ПД или его представителя. Согласие на обработку???

Если запрос подается представителем субъекта ПД, к запросу прикладывается документ, подтверждающий полномочия представителя субъекта ПД.

7.4. Если в обращении (запросе) субъекта ПД не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

Право субъекта ПД на доступ к его ПД может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта ПД к его ПД нарушает права и законные интересы третьих лиц.

7.5. В случае выявления неточных ПД при обращении субъекта ПД или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование ПД, относящихся к этому субъекту ПД, с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПД не нарушает права и законные интересы субъекта ПД или третьих лиц.

В случае подтверждения факта неточности ПД Оператор на основании сведений, представленных субъектом ПД или его представителем либо Роскомнадзором, или иных необходимых документов уточняет ПД в течение семи рабочих дней со дня представления таких сведений и снимает блокирование ПД.

7.6. В случае выявления неправомерной обработки ПД при обращении (запросе) субъекта ПД или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых ПД, относящихся к этому субъекту ПД, с момента такого обращения или получения запроса.

7.7. При достижении целей обработки ПД, а также в случае отзыва субъектом ПД согласия на их обработку ПД подлежат уничтожению, если:

· иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД;

· Оператор не вправе осуществлять обработку без согласия субъекта ПД на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;

· иное не предусмотрено другим соглашением между Оператором и субъектом ПД.

 8. Особенности обработки персональных данных пользователей Сайта Оператора

 8.1. На Сайте Оператора используются файлы cookies и пользовательские данные. Указанные ПД обрабатываются Оператором в целях обеспечения стабильной работы Сайта, улучшения пользовательского опыта, совершенствования способов и методов представления информации на Сайте, ведения статистики посещений Сайта и выявления наиболее посещаемых страниц Сайта, составление профиля, таргетирования продукта в соответствии с интересами пользователя Сайта.

8.2. Пользователь Сайта вправе либо предоставить свое согласие на обработку указанных ПД, продолжив пользоваться Сайтом, либо отказаться предоставлять такое согласие, отключив обработку файлов cookies и сбор пользовательских данных в настройках браузера, или покинув Сайт.

8.3. Несмотря на то, что большинство браузеров принимают файлы cookies автоматически, пользователь Сайта может настроить свой браузер таким образом, чтобы только пользователь Сайта решал, принять ли или же заблокировать файл cookies (пользователю Сайта следует обращаться к меню «Инструменты» или «Настройки» используемого пользователем Сайта браузера). Удалить файлы cookies со своего устройства пользователь Сайта может в любое время. При этом необходимо помнить, что, если пользователь Сайта не принимает файлы cookies, некоторые функции Сайта могут быть недоступны.

Более подробная информацию об использовании файлов cookie и похожих технологий размещена на сайте Оператора по адресу: https://transset.ru/cookiepolicy.

9. Защита персональных данных

9.1. В соответствии с требованиями нормативных документов Оператором создана система защиты ПД (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.

9.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.

9.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.

9.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.

9.5. Основными мерами защиты ПД, используемыми Оператором, являются:

9.5.1. Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением Оператором и его работниками требований к защите ПД.

9.5.2. Определение актуальных угроз безопасности ПД при их обработке в ИСПД и разработка мер и мероприятий по защите ПД.

9.5.3. Разработка политики в отношении обработки ПД.

9.5.4. Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД.

9.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.

9.5.6. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

9.5.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

9.5.8. Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ.

9.5.9. Обнаружение фактов несанкционированного доступа к ПД и принятие мер.

9.5.10. Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

9.5.11. Обучение работников Оператора, непосредственно осуществляющих обработку ПД, положениям законодательства РФ о ПД, в том числе требованиям к защите ПД, документам, определяющим политику Оператора в отношении обработки ПД, локальным актам по вопросам обработки ПД.

9.5.12. Осуществление внутреннего контроля и аудита.

9.6. Требования к защите ПД при их обработке в информационных системах персональных данных (ИСПД) и уровни защищенности таких данных устанавливаются в соответствии с Постановлением Правительства РФ от 01.11.2012г. № 1119.

10. Оценка возможного вреда субъекту ПД.

Определение типа угроз безопасности ИСПД, степени защищенности ПД.

10.1. Оценка возможного вреда субъекту ПД осуществляется в соответствии с п.10.2 настоящей Политики комиссией по оценке вреда, который может быть причинен субъектам ПД в случае нарушения Закона о персональных данных. Комиссия создается приказом директора Оператора. Оценка степени вреда, который может быть причинен субъекту ПД осуществляется в соответствии с приказом Роскомнадзора от 27.10.2022г. № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».

10.2. Методика оценки возможного вреда субъекту ПД

10.2.1. Вред субъекту ПД возникает в результате неправомерного или случайного доступа к ПД, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД.

10.2.2. Оператор для целей оценки вреда определяет одну из степеней вреда, который может быть причинен субъекту ПД в случае нарушения Закона о персональных данных.

а) Высокая степень вреда устанавливается в случаях:

· обработки Оператором сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические ПД) и которые используются Оператором для установления личности субъекта ПД, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки биометрических ПД;

· обработки Оператором специальных категорий ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки специальных категорий ПД;

· обработки Оператором ПД несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является несовершеннолетний, а также для заключения договора по инициативе несовершеннолетнего или договора, по которому несовершеннолетний будет являться выгодоприобретателем или поручителем в случаях, не предусмотренных законодательством Российской Федерации;

· обезличивания ПД, в том числе с целью проведения оценочных (скоринговых) исследований, оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также иных исследований, не предусмотренных п.9 ч.1 ст.6 Закона о персональных данных;

· поручения иностранному лицу (иностранным лицам) осуществлять обработку ПД граждан РФ;

· сбора ПД с использованием баз данных, находящихся за пределами РФ.

б) Средняя степень вреда устанавливается в случаях:

· распространения ПД на официальном сайте Оператора в сети «Интернет», а равно предоставление ПД неограниченному кругу лиц, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия такой обработки ПД;

· обработки ПД в дополнительных целях, отличных от первоначальной цели сбора;

· продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием баз ПД, владельцем которых является иной оператор;

· получения согласия на обработку ПД посредством реализации на официальном сайте Оператора в сети «Интернет» функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта ПД;

· осуществления деятельности по обработке ПД, предполагающей получение согласия на обработку ПД, содержащего положения о предоставлении права осуществлять обработку ПД определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой.

в) Низкая степень вреда устанавливается в случаях:

· ведения общедоступных источников ПД (в том числе справочников, адресных книг), сформированных в соответствии со ст.8 Закона о персональных данных;

· назначения в качестве ответственного за обработку ПД лица, не являющегося работником Оператора.

10.3. Оформление результатов оценки вреда.

Результаты оценки вреда оформляются актом оценки вреда.

Акт оценки вреда должен содержать:

· наименование или фамилию, имя, отчество (при наличии) и адрес Оператора;

· дату издания акта оценки вреда;

· дату проведения оценки вреда;

· фамилию, имя, отчество (при наличии), должность лиц (лица) (при наличии), проводивших оценку вреда, а также их (его) подпись;

· степень вреда, которая может быть причинена субъекту ПД, определенная в соответствии с методикой оценки вреда, указанной в п.10.2 настоящей Политики.

В случае если по итогам проведенной оценки вреда установлено, что в рамках деятельности по обработке ПД субъекту ПД в соответствии с методикой оценки вреда могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда.

Допускается оформление одного акта на несколько категорий субъектов ПД.

10.4. С учетом оценки возможного вреда субъектам ПД Оператором производится определение типа угроз безопасности ПД, актуальных для ИСПД.

Типы угроз ИСПД:

· Угрозы 1-го типа - угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в ИСПД.

· Угрозы 2-го типа - угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в ИСПД.

· Угрозы 3-го типа - угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в ИСПД.

10.5. При обработке ПД в ИСПД устанавливаются 4 уровня защищенности ПД.

10.5.1. 1-й уровень защищенности ПД необходим при наличии хотя бы одного из следующих условий:

· для ИСПД актуальны угрозы 1-го типа и ИСПД обрабатывает либо специальные категории ПД, либо биометрические ПД, либо иные категории ПД;

· для ИСПД актуальны угрозы 2-го типа и ИСПД обрабатывает специальные категории ПД более чем 100 000 субъектов ПД, не являющихся Работниками Оператора.

10.5.2. 2-ой уровень защищенности ПД необходим при наличии хотя бы одного из следующих условий:

· для ИСПД актуальны угрозы 1-го типа и ИСПД обрабатывает общедоступные ПД;

· для ИСПД актуальны угрозы 2-го типа и ИСПД обрабатывает специальные категории ПД работников Оператора или специальные категории ПД менее чем 100 000 субъектов ПД, не являющихся работниками Оператора;

· для ИСПД актуальны угрозы 2-го типа и ИСПД обрабатывает биометрические ПД;

· для ИСПД актуальны угрозы 2-го типа и ИСПД обрабатывает общедоступные ПД более чем 100 000 субъектов персональных данных, не являющихся работниками Оператора;

· для ИСПД актуальны угрозы 2-го типа и ИСПД обрабатывает иные категории ПД более чем 100 000 субъектов персональных данных, не являющихся работниками Оператора;

· для ИСПД актуальны угрозы 3-го типа и ИСПД обрабатывает специальные категории ПД более чем 100 000 субъектов ПД, не являющихся работниками Оператора.

10.5.3. 3-ий уровень защищенности ПД необходим при наличии хотя бы одного из следующих условий:

· для ИСПД актуальны угрозы 2-го типа и ИСПД обрабатывает общедоступные ПД работников Оператора или общедоступные ПД менее чем 100 000 субъектов ПД, не являющихся работниками Оператора;

· для ИСПД актуальны угрозы 2-го типа и ИСПД обрабатывает иные категории ПД работников Оператора или иные категории ПД менее чем 100 000 субъектов ПД, не являющихся работниками Оператора;

· для ИСПД актуальны угрозы 3-го типа и ИСПД обрабатывает специальные категории ПД работников Оператора или специальные категории ПД менее чем 100 000 субъектов ПД, не являющихся работниками Оператора;

· для ИСПД актуальны угрозы 3-го типа и ИСПД обрабатывает биометрические ПД;

· для ИСПД актуальны угрозы 3-го типа и ИСПД обрабатывает иные категории ПД более чем 100 000 субъектов ПД, не являющихся работниками Оператора.

10.5.4. 4-ый уровень защищенности ПД необходим при наличии хотя бы одного из следующих условий:

· для ИСПД актуальны угрозы 3-го типа и ИСПД обрабатывает общедоступные ПД;

· для ИСПД актуальны угрозы 3-го типа и ИСПД обрабатывает иные категории ПД работников Оператора или иные категории ПД менее чем 100 000 субъектов ПД, не являющихся работниками Оператора.

10.6. Требования, необходимые для обеспечения Оператором уровней защищенности ПД:

10.6.1. Для обеспечения 4-го уровня защищенности ПД необходимо:

· организация режима обеспечения безопасности помещений, в которых размещена ИСПД, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

· обеспечение сохранности носителей ПД;

· утверждение руководителем Оператора документа, определяющего перечень лиц, доступ которых к ПД, обрабатываемым в ИСПД, необходим для выполнения ими трудовых обязанностей;

· использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

10.6.2. Для обеспечения 3-го уровня защищенности ПД необходимо:

· соблюдение требований п.10.6.1 настоящей Политики;

· назначение работника, ответственного за обеспечение безопасности ПД в ИСПД.

10.6.3. Для обеспечения 2-го уровня защищенности ПД необходимо:

· соблюдение требований п.10.6.2 настоящей Политики;

· обеспечение возможности доступа к содержанию электронного журнала сообщений исключительно для работников Оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения трудовых обязанностей.

10.6.4. Для обеспечения 1-го уровня защищенности ПД необходимо:

· соблюдение требований п.10.6.3 настоящей Политики;

· автоматическая регистрация в электронном журнале безопасности изменения полномочий работника Оператора по доступу к ПД, содержащимся в ИСПД;

· создание структурного подразделения, ответственного за обеспечение безопасности ПД в ИСПД, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

11. Взаимодействие Оператора с уполномоченным органом по защите прав субъектов ПД (Роскомнадзором)

11.1. В случае выявления неправомерной обработки ПД при обращении субъекта ПД или его представителя либо по запросу субъекта ПД или его представителя либо Роскомнадзора Оператор обязан заблокировать неправомерно обрабатываемые ПД, относящиеся к этому субъекту ПД с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных ПД при обращении субъекта ПД или его представителя либо по их запросу или по запросу Роскомнадзора Оператор обязан заблокировать ПД, относящиеся к этому субъекту ПД с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПД не нарушает права и законные интересы субъекта ПД или третьих лиц.

11.2. В случае подтверждения факта неточности ПД Оператор на основании сведений, представленных субъектом ПД или его представителем либо Роскомнадзором, или иных необходимых документов обязан уточнить ПД в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование ПД.

В случае выявления неправомерной обработки ПД, осуществляемой Оператором, Оператор в срок до 3 (трех) рабочих дней с даты этого выявления обязан прекратить неправомерную обработку ПД. В случае, если обеспечить правомерность обработки ПД невозможно, Оператор в срок до 10 (десяти) рабочих дней с даты выявления неправомерной обработки ПД обязан уничтожить такие ПД. Об устранении допущенных нарушений или об уничтожении ПД Оператор обязан уведомить субъекта ПД или его представителя, а в случае, если обращение субъекта ПД или его представителя либо запрос Роскомнадзора были направлены Роскомнадзором, также и в Роскомнадзор.

11.3. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД, Оператор обязан с момента выявления такого инцидента Оператором, Роскомнадзором или иным заинтересованным лицом уведомить Роскомнадзор в виде документа на бумажном носителе или в форме электронного документа:

11.3.1. в течение 24 (двадцати четырех) часов направить первичное уведомление со следующими сведениями об инциденте и об Операторе:

· о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПД, и предполагаемом вреде, нанесенном правам субъектов ПД, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором, по вопросам, связанным с выявленным инцидентом; иные сведения и материалы, находящиеся в распоряжении оператора, в том числе об источнике получения информации об инциденте, а также подтверждающие принятие мер по устранению последствий инцидента (при наличии);

· данные Оператора: полное и сокращенное (при наличии) наименование юридического лица; ИНН юридического лица; адрес юридического лица в пределах места нахождения юридического лица; адрес электронной почты;

· сведения о результатах внутреннего расследования выявленного инцидента, в случае если Оператор на момент направления первичного уведомления располагает такими сведениями.

11.3.2. в течение 72 (семидесяти двух) часов направить дополнительное уведомление со следующими сведениями:

· о результатах внутреннего расследования выявленного инцидента, а сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии);

· о результатах внутреннего расследования выявленного инцидента (информация о причинах, повлекших нарушение прав субъектов ПД, и вреде, нанесенном правам субъектов ПД, о дополнительно принятых мерах по устранению последствий соответствующего инцидента (при наличии), а также о решении Оператора о проведении внутреннего расследования с указанием его реквизитов);

· о лицах, действия которых стали причиной выявленного инцидента (при наличии) (ФИО работника Оператора с указанием должности (если причиной инцидента стали действия работника Оператора), ФИО физического лица, индивидуального предпринимателя или полное наименование юридического лица, действия которых стали причиной выявленного инцидента, IP-адрес компьютера или устройства, предполагаемое местонахождение таких лиц и (или) устройств (если причиной инцидента стали действия посторонних лиц) и иные сведения о выявленном инциденте, имеющиеся в распоряжении Оператора).

11.4. В случае получения от Роскомнадзора запроса Оператору о представлении недостающих сведений и (или) пояснений относительно некорректности представленных в уведомлении сведений, указанные сведения и (или) пояснения предоставляются Оператором в Роскомнадзор в течение 3 (трех) рабочих дней со дня получения такого запроса на бумажном носителе или в форме электронного документа.

11.5. В случае если Оператор не направил дополнительное уведомление в Роскомнадзор и Роскомнадзор направил требование о необходимости представить сведения о результатах внутреннего расследования выявленного инцидента, ответ на данное требование направляется оператором в Роскомнадзор в течение 1 (одного) рабочего дня со дня получения такого требования на бумажном носителе или в форме электронного документа.

11.6 В случае получения Оператором от Роскомнадзора требование о необходимости представить уведомление по выявленному Роскомнадзором факту неправомерного распространения скомпрометированной базы данных, содержание которой указывает на ее принадлежность к конкретному Оператору, Оператор должен (в указанные выше сроки для предоставления первичного и дополнительного уведомлений) направить такое уведомление либо уведомление о неподтверждения Оператором факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД, и (или) неустановления принадлежности скомпрометированной базы данных, содержащей ПД, указанному Оператору.

К дополнительному уведомлению Оператором прикладывается акт о проведенном внутреннем расследовании, подтверждающий отсутствие факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД, и (или) неустановления принадлежности скомпрометированной базы данных, содержащей ПД, соответствующему Оператору в деятельности такого Оператора.

В случае установления Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, содержащихся в базе данных, характеристики которых полностью соответствуют ранее скомпрометированной базе данных, Оператор направляет в Роскомнадзор первичное и дополнительное уведомления в указанные выше сроки.

11.7. В случае возникновения факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД, Оператор направляет в Роскомнадзор уведомления о таких фактах.

12. Контроль, ответственность за нарушение или неисполнение Политики

12.1. Лица, нарушающие или не исполняющие требования настоящей Политики, несут дисциплинарную, административную (ст. ст. 5.39, 13.11 - 13.14, 19.7 Кодекса РФ об административных правонарушениях) или уголовную ответственность (ст. ст. 137, 140, 272 Уголовного кодекса РФ).

12.2. Руководители структурных подразделений Оператора несут персональную ответственность за исполнение обязанностей их подчиненными.