УТВЕРЖДЕНА
приказом директора №220923001 от 23.09.2022

Политика Общества с ограниченной ответственностью «Промобит» в отношении обработки персональных данных

1. Общие положения

1.1 Настоящая «Политика Общества с ограниченной ответственностью «Промобит» в отношении обработки персональных данных» (далее – «Политика») разработана во исполнение требований пункта 2 части 1, части 2 статьи 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных») в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе, защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2 Политика действует в отношении персональных данных третьих лиц, которые обрабатывает Общество с ограниченной ответственностью «Промобит» (далее – «Оператор»).
1.3 Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.4 Во исполнение требований части 2 статьи 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора https://bitblaze.ru/ (далее – «Cайт»).
1.5 В случае отсутствия каких-либо предусмотренных законом положений, связанных с обработкой персональных данных в Политике, такие положения закрепляются Положением об обработке и защите персональных данных работников Оператора и других локальных актах Оператора. В частности, Положением об обработке и защите персональных данных работников регулируются вопросы обработки персональных данных работников, бывших работников, родственников работников.
1.6 1.6. Неотъемлемой частью Политики является Пользовательское соглашение, размещенное на Cайте.

2. Основные понятия, используемые в Политике:

2.1 Персональные данные: любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
2.2 Оператор персональных данных (оператор): государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.3 Обработка персональных данных: любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемые с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:

  • сбор;
  • запись;
  • систематизацию;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передачу (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение.

 
2.4 Автоматизированная обработка персональных данных: обработка персональных данных с помощью средств вычислительной техники.
2.5 Распространение персональных данных: действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.6 Предоставление персональных данных: действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.7 Блокирование персональных данных: временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).
2.8 Уничтожение персональных данных: действия, в результате которых становится невозможным восстановление содержания персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.9 Обезличивание персональных данных: действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.10 Информационная система персональных данных: совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.11 Трансграничная передача персональных данных: передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Цели обработки персональных данных

3.1 Обработка персональных данных третьих лиц ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.2 Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.3 Целями обработки персональных данных являются следующие:

  • продвижение товаров, работ и услуг на рынке, продажа продукции Оператора;
  • коммерческое и технологическое сотрудничество с третьими лицами;
  • осуществление видов деятельности, указанных в ЕГРЮЛ;
  • ведение бухгалтерского учета, уплата налогов;
  • соблюдение требований законодательства и иных нормативно-правовых актов Российской Федерации, включая права и обязанности Оператора по предоставлению персональных данных в Федеральную налоговую службу, Пенсионный фонд, Фонд социального страхования, Федеральный фонд обязательного медицинского страхования;
  • исполнение судебных актов, актов других органов власти или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации;
  • исполнение запросов государственных и муниципальных органов (в предусмотренных законом случаях), субъектов персональных данных.

4. Правовые основания обработки персональных данных

4.1 Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:

  • Конституция Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Бюджетный кодекс Российской Федерации;
  • Налоговый кодекс Российской Федерации;
  • Федеральный закон от 15.12.2001 N 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
  • Федеральный закон «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством» от 29.12.2006 №255-ФЗ;
  • Федеральный закон «Об обязательном медицинском страховании в РФ» от 29.11.2010 г. №326-ФЗ;
  • Федеральный закон «Об обществах с ограниченной ответственностью» от 08.02.1998 г. №14 -ФЗ;
  • иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
  • устав Оператора;
  • договоры, заключаемые между Оператором и третьими лицами;
  • согласие субъектов персональных данных на обработку их персональных данных (за исключением установленных законодательно случаев, когда получение такого согласия не требуется);
  • локальные акты Оператора.

5. Категории субъектов персональных данных (третьих лиц), чьи данные обрабатываются Оператором:

  • контрагенты Оператора (физические лица), в том числе потенциальные клиенты;
  • представители или работники контрагентов Оператора (юридических лиц).

6. Объем, категории обрабатываемых персональных данных:

6.1 При осуществлении обработки персональных данных третьих лиц на Сайте обработке подлежат следующие категории:

  • фамилия, имя, отчество
  • номер личного телефона.
6.2 При осуществлении обработки персональных данных третьих лиц, полученных посредством электронной почты, обработке подлежат указанные субъектом персональные данные.
6.3 При осуществлении гражданско-правовых отношений с контрагентами Оператора (физическими лицами, в том числе, самозанятыми, индивидуальными предпринимателями):

  • фамилия, имя, отчество;
  • паспортные данные;
  • контактные данные;
  • индивидуальный номер налогоплательщика (ИНН);
  • банковские реквизиты;
  • страховой номер индивидуального лицевого счета (СНИЛС);
  • иные персональные данные, предоставляемые контрагентами Оператора, необходимые для заключения и исполнения договоров.
6.4 При осуществлении гражданско-правовых отношений с третьими лицами, представителями или работниками контрагентов Оператора (юридических лиц):

  • фамилия, имя, отчество;
  • контактные данные (электронная почта, телефон);
  • должность;
  • иные персональные данные, предоставляемые представителями или работниками контрагентов Оператора, необходимые для заключения и исполнения договоров.

7. Сотрудники Оператора, осуществляющие обработку персональных данных третьих лиц

7.1 Право доступа к обработке персональных данных третьих лиц имеют следующие сотрудники Оператора:

  • директор
  • коммерческий директор
  • сотрудники бухгалтерии
  • ответственный за информационную безопасность
  • специалист по сервису и тестированию
  • юрисконсульт
  • инженер
  • руководитель отдела продаж
  • сотрудники службы по работе с персоналом
  • сотрудники, подчиняющиеся руководителю отдела продаж
  • сотрудник, выполняющий функции офис-менеджера
  • работники по направлению деятельности по согласованию с назначенным настоящим приказом ответственным
7.2 Сотрудник Оператора, допущенный к обработке персональных данных, принимает на себя обязательства по неразглашению персональных данных, ставших известными ему в связи с исполнением должностных обязанностей.

8. Порядок и условия обработки персональных данных третьих лиц

8.1 Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
8.2 Обработка персональных данных посредством использования Сайта осуществляется путем обработки заявок, направленных через Сайт, перенаправления их в информационную систему Оператора.
8.3 Обработка персональных данных посредством электронной почты осуществляется путем анализа входящих сообщений, ответа на них.
8.4 Обработка персональных данных, размещенных на машинописных документах осуществляется путем анализа содержания документов.
8.5 Персональные данные через Сайт, электронную почту предоставляются субъектом персональных данных лично в электронном виде путем указания их в электронной заявке или электронном письме.
8.6 Обработка персональных данных с Сайта осуществляется с согласия субъектов персональных данных на обработку их персональных данных при условии подтверждения ознакомления их с Политикой.
8.7 При направлении входящих сообщений на электронную почту субъектами персональных данных получение согласия лица, самостоятельно предоставившего такие данные, презюмируется.
8.8 Форма согласия пользователя Сайта на обработку его персональных данных размещена на Сайте.
8.9 Оператор осуществляет автоматизированную обработку персональных данных с Сайта и из электронной почты.
8.10 Обработка данных третьих лиц при осуществлении с ними гражданско-правовых отношений осуществляется как с использованием средства автоматизации, так и без него. Формы согласий третьих лиц является приложениями к Политике.
8.11 Не допускается раскрытие персональных данных третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
8.12 Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в случае необходимости в соответствии с требованиями законодательства Российской Федерации.
8.13 Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

  • определяет угрозы безопасности персональных данных при их обработке;
  • принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
  • назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
  • создает необходимые условия для работы с персональными данными;
  • организует учет документов, содержащих персональные данные;
  • организует работу с информационными системами, в которых обрабатываются персональные данные;
  • хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
  • организует обучение работников Оператора, осуществляющих обработку персональных данных.
8.14 Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.

9. Сроки хранения персональных данных:

9.1 В общем случае персональные данные хранятся с момента их получения до момента, когда цель обработки персональных данных достигнута.

10. Документами, содержащими персональные данные третьих лиц, являются:

  • комплексы документов, сопровождающих процесс оформления и сопровождения гражданско-правовой сделки;
  • отчетные документы, направляемых в государственные контролирующие органы;
  • входящие сообщения по электронной почте;
  • входящие заявки на Сайте;
  • согласия субъектов персональных данных.

11. Права и обязанности Оператора.

11.1 Оператор имеет право:
11.1.1 Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятых в соответствии с ним нормативными правовыми актами, определять способы обработки персональных данных, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.
11.1.2 Поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных.
11.1.3 В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
11.2 Оператор обязан:
11.2.1 Организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных.
11.2.2 Отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных.
11.2.3 Сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее –«Роскомнадзор») по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.
11.2.4 В порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.

12. Ответственность Оператора

12.1 Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов Оператора в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.
12.2 Ответственным лицом за организацию обработки персональных данных является руководитель Оператора. На него возлагается ответственность по соблюдению установленных Правительством Российской Федерации уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных, защиты персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных; требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

13. Права субъекта персональных данных

13.1 Субъект персональных данных имеет право:
13.1.1 Получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
13.1.2 Требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
13.1.3 Отозвать согласие на обработку персональных данных;
13.1.4 Обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.

14. Место хранения персональных данных третьих лиц

Персональные данные третьих лиц хранятся на серверах Оператора, расположенных по месту его нахождения на территории Российской Федерации, данные третьих лиц, полученные при осуществлении гражданско-правовых отношений, хранятся в закрытых на ключ помещениях Оператора.

15. Наименование информационных систем, в которых Оператором осуществляется автоматизированная обработка персональных данных третьих лиц

15.1 Электронная почта Оператора.
15.2 Сайт: https://bitblaze.ru/.
15.3 Программный комплекс «1С: Управление небольшой фирмой».
15.4 Программный комплекс «1С-Битрикс 24».

16. Угрозы безопасности персональных данных

16.1 Угрозами безопасности персональных данных (за исключением персональных данных, разрешенных субъектом персональных данных для их распространения), актуальными при их обработке в информационных системах персональных данных, являются в том числе:

  • угроза несанкционированного доступа к персональным данным лицами, обладающими полномочиями в информационной системе персональных данных, в том числе в ходе создания, эксплуатации, технического обслуживания и (или) ремонта, модернизации, снятия с эксплуатации информационной системы персональных данных;
  • угроза воздействия вредоносного кода, внешнего по отношению к информационной системе персональных данных;
  • угроза использования методов социального инжиниринга к лицам, обладающим полномочиями в информационной системе персональных данных;
  • угроза несанкционированного доступа к отчуждаемым носителям персональных данных;
  • угроза утраты (потери) носителей персональных данных, включая переносные персональные компьютеры пользователей информационной системы персональных данных;
  • угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в организации защиты персональных данных;
  • угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в программном обеспечении информационной системы персональных данных;
  • угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи данных;
  • угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в обеспечении защиты вычислительных сетей информационной системы персональных данных;
  • угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей, вызванных несоблюдением требований по эксплуатации средств криптографической защиты информации;
  • угроза нарушения целостности (подмены) персональных данных.

17. Актуализация, исправление, удаление, уничтожение персональных данных и прекращение их обработки, ответы на запросы субъектов на доступ к персональным данным

17.1 Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в части 7 статьи 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.

В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

Запрос должен содержать:

  • номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
  • сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
  • подпись субъекта персональных данных или его представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Оператор предоставляет сведения, указанные в части 7 статьи 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
17.2 В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
17.3 В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
17.4 При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:

  • в течение 24 часов уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
  • в течение 72 часов уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
17.5 При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

  • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
  • Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
  • иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
17.6 Уничтожение персональных данных должно быть зафиксировано Оператором в Акте об удалении персональных данных, уничтожении носителей персональных данных по каждому такому факту (форма акта приведена в приложениях к настоящему Положению).
17.6.1 Информация на электронных носителях подлежит уничтожению путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации.
17.6.2 Информация на бумажных носителях подлежит уничтожению путем измельчения техническими средствами, исключающими возможность дальнейшего использования.
17.7 При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий десять рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.

18. Ответственность за разглашение информации, связанной с персональными данными третьих лиц

18.1 Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных третьих лиц, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

Приложения

Меню