1.1. Настоящая Политика в отношении обработки персональных данных (далее — Политика)
ООО «СИБРЕГЦЕНТР» (далее — Оператор), составлена в соответствии с Конституцией
Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом
Российской Федерации, Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Федеральным законом от 29.12.2022 N 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской
Федерации», а также иными федеральными законами и нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее — ПДн/БПДн), которые Оператор может получить от субъекта персональных данных, являющегося стороной по гражданско-правовому договору, а также от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее — Работник).

1.2. Политика разработана с целью обеспечения защиты прав и свобод субъекта ПДн/БПДн при обработке его ПДн/БПДн.

1.3. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г.№ 152-ФЗ «О персональных данных».

1.4. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих у Оператора вопросы обработки персональных данных работников ООО «СИБРЕГЦЕНТР» и других субъектов ПДн/БПДн.

1.5. Использование услуг Оператора, а так же взаимодействие с веб-сайтом Оператора, находящимися в сети Интернет по адресам: https://sibregcentr.ru (далее — Сайт), направление электронного письма, заполнение регистрационной формы на Сайте, отправление сообщения и/или комментария на Сайте или группе в социальных сетях подтверждает факт ознакомления и безоговорочного согласия с Субъекта с принятой на сайте Политикой обработки ПДн/БПДн.

1.6. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.

2.1. ПДн/БПДн обрабатываются Оператором в следующих целях:

3.1. Получение ПДн/БПДн.

3.1.1. Все ПДн/БПДн следует получать от самого субъекта. Если ПДн/БПДн субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.

3.1.2. Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПДн/БПДн, характере подлежащих получению ПДн/БПДн, перечне действий с ПДн/БПДн, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.

3.2.4. Состав ПДн/БПДн каждой из перечисленных в п. 3.2.3 настоящей Политики категории субъектов определяется согласно нормативным документам, перечисленным в разделе 3.2 настоящей Политики.

3.2.5. В случаях, предусмотренных действующим законодательством, субъект персональных данных принимает решение о предоставлении его ПДн/БПДн Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе.

3.2.6. Оператор обеспечивает соответствие содержания и объема обрабатываемых БПДн/ПДн заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.

3.3. Хранение ПДн/БПДн.

3.3.1. ПДн/БПДн субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде.

3.3.2. ПДн, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.

3.3.3. ПДн/БПДн субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.

3.3.4. Не допускается хранение и размещение документов, содержащих ПДн/БПДн, в открытых электронных каталогах (файлообменниках) в ИСПДн, а также в открытом доступе на физических носителях (оригиналы и бумажные копии документов, магнитные и электронные носители, содержащие ПДн/БПДн).

3.3.5. Хранение ПДн/БПДн в форме, позволяющей определить субъекта ПДн/БПДн, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.4. Уничтожение ПДн/БПДн.

3.4.1. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению.

3.4.2. Уничтожение документов (носителей), содержащих ПДн, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

3.4.3. ПДн/БПДн на электронных носителях уничтожаются путем стирания или форматирования носителя.

3.4.4. Факт уничтожения ПДн/БПДн подтверждается документально актом об уничтожении носителей.

3.5. Передача ПДн/БПДн.

3.5.2. Сведения предоставляются субъекту ПДн/БПДн или его представителю Оператором при обращении либо при получении запроса субъекта ПДн/БПДн или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн/БПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн/БПДн в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта ПДн БПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

3.5.2. Сведения предоставляются субъекту ПДн/БПДн или его представителю Оператором при обращении либо при получении запроса субъекта ПДн/БПДн или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн/БПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн/БПДн в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта ПДн БПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

3.6. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

4.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПДн), состоящая из подсистем правовой, организационнойи технической защиты.

4.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно- распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПДн.

4.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПДн, разрешительной системы, защиты информации при работе с сотрудниками, партнерами (контрагентами) и сторонними лицами.

4.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПДн/БПДн.

4.5. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152 ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152 «О персональных данных», постановлением Правительства от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», и другими нормативными правовыми актами, если иное не предусмотрено федеральными законами. К таким мерам относятся:

4.5.1. Назначение лица, ответственного за обработку ПДн/БПДн, которое осуществляет организацию обработки ПДн/БПДн, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПДн/БПДн.

4.5.2. Определение актуальных угроз безопасности ПДн/БПДн при их обработке в ИСПДн и разработка мер и мероприятий по защите ПДн/БПДн.

4.5.3. Определение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных».

4.5.4. Издание Оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

4.5.5. Установление правил доступа к ПДн/БПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн.

4.5.6. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.

4.5.7. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

4.5.8. Качественное антивирусное программное обеспечение с регулярно обновляемыми базами.

4.5.9. Соблюдение условий, обеспечивающих сохранность ПДн/БПДн и исключающих несанкционированный к ним доступ.

4.5.10. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.

4.5.11. Восстановление ПДн/БПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

4.5.12. Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.

4.5.13. Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора.

4.5.14. Оператор при обработке ПДн/БПДн принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПДн/БНДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн/БПДн, а также от иных неправомерных действий в отношении ПДн/БПДн.

5.2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

6.2. Оператор вправе отказать субъекту ПДн/БПДн в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.

7.2. Регистрация Субъекта на Сайте или в мобильном приложении может осуществляться через социальный сервис facebook.com, vk.com или другие социальные сети (сервисы), если такая возможность предусмотрена техническими характеристиками Сайта и мобильного приложения. Данный способ регистрации избирает сам Субъект путем совершения указанных на Сайте действий в момент регистрации.

7.4. Пользователь осознает, что в случае авторизации на сайте Компании посредством учетных записей социальных сетей, на него распространяются правила и условия соответствующих социальных сетей, в том числе в части обработки и использования персональных данных и обеспечения их конфиденциальности.

8.1. Оператор несет ответственность за соответствие обработки и обеспечение безопасности персональных данных законодательству. Все работники Оператора, осуществляющие обработку ПДн/БПДн, несут ответственность за соблюдение настоящей Политики и иных локальных актов Оператора по вопросам обработки и обеспечению безопасности персональных данных.

8.2. Любой работник, которому стало известно о нарушении настоящей Политики или который подозревает о существовании такого нарушения, должен сообщить об этом лицу, ответственному за организацию обработки ПДн/БПДн, в соответствии с существующими у Оператора процедурами.

8.3. Любые нарушения настоящей Политики и иных локальных актов Оператора по вопросам обработки и обеспечению безопасности персональных данных будут расследоваться в соответствии с действующими у Оператора процедурами.

8.4. Лица, признанные виновными в нарушении установленных порядка и процедур обработки и обеспечения безопасности персональных данных, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством Российской Федерации.

9.1. Настоящая Политика подлежит при необходимости изменению, дополнению, в т. ч. в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.

9.2. Настоящая Политика является внутренним документом ООО «СИБРЕГЦЕНТР», и подлежит размещению на официальном сайте Оператора. В случае изменений, доведение до неограниченного круга лица таких изменений осуществляется посредством размещения на официальном сайте Оператора Политики с учетом таких изменений.

9.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за обеспечение безопасности персональных данных Оператора.

10.1. Для обеспечения неограниченного допуска к политике Оператора в отношении обработки ПДн, сведениям о реализованных мерах по защите ПДн/БПДн, текст настоящей Политики опубликован на сайте Оператора https://sibregcentr.ru.

10.2. Обеспечение реализации прав субъекта ПДн/БПДн осуществляется посредством исполнения запросов, поступающих от физических лиц Оператору по адресам, указанным на официальном сайте https://sibregcentr.ru.