Положение об обработке и защите персональных данных

1. Информация о документе

Версия документа: 3.0
Введен в действие: 24.07.2025 г.
Минимальная периодичность пересмотра документа: 1 год
Максимальная периодичность пересмотра документа: 2 года
Ограничение доступа: Без ограничений (общедоступная информация)

2. Общие положения

2.1. Настоящее Положение об обработке и защите персональных данных (далее – Положение) разработано в целях реализации требований Федерального закона от 27.07.2006 г. №152-ФЗ «О защите персональных данных», Федерального закона от 27.12.2010 г. №390-ФЗ «О безопасности», других законодательных актов Российской Федерации, в соответствии с Коммуникационной политикой, Политикой конфиденциальности и иными локальными нормативными актами ООО «Группа компаний «СтиС» (далее – Компания).

2.2. Целью настоящего Положения является эффективная организации мероприятий по защите и регламентации обработки персональных данных клиентов, посетителей официальных веб-сайтов, работников, лиц, с которыми заключены договоры гражданско-правового характера, и сотрудников Компании, заказчиков и исполнителей работ по договорам, заключенным с Компанией.

2.3. Положение раскрывает способы и принципы обработки Компанией персональных данных, права и обязанности Компании при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Компанией в целях обеспечения безопасности персональных данных при их обработке.

2.4. Действие настоящего Положения является обязательным для работников Компании, которые имеют доступ к персональным данным.

2.5. Настоящее Положение распространяется на отношения в области персональных данных как до, так и после его утверждения.

3. Термины и сокращения

3.1. Блокирование персональных данных – временное прекращение обработки персональных данных субъектов (за исключением случаев, если обработка необходима для уточнения персональных данных).

3.2. Договор – соглашение двух или более лиц об установлении, изменении или прекращении гражданских прав и обязанностей независимо от его наименования (контракт, соглашение и т. п.).

3.3. Документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

3.4. Информация – сведения (сообщения, данные) независимо от формы их представления.

3.5. Использование персональных данных – действия (операции) с персональными данными, совершаемые специально уполномоченными лицами Компании в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных со стороны юридических лиц Компании либо иным образом затрагивающих их права и свободы или права и свободы других лиц.

3.6. Контрагент – юридическое, физическое лицо или иной субъект гражданских правоотношений, с которым Компания намерена заключить договор, либо уже являющееся стороной договора с Компанией.

3.7. Клиент – субъект персональных данных, перед которым у Компании есть обязательства, согласно заключенному договору или иному документу, в том числе полномочный представитель Контрагента и третье лицо, заинтересованное в участии или участвующее в отношении Компании с Контрагентом.

3.8. Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не допускать разглашения и передачи такой информации третьим лицам или распространения её неопределенному кругу лиц без согласия ее обладателя.

3.9. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

3.10. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ, трансграничная передача), обезличивание, блокирование, удаление, уничтожение персональных данных.

3.11. Общедоступные источники персональных данных и общедоступные персональные данные – источники, свободные для ознакомления и использования любыми лицами (в том числе справочники, адресные книги, общедоступные веб-сайты и т.д.). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные относящаяся прямо или косвенно к субъекту персональных данных.

3.12. Оператор персональных данных (далее – Оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

3.13. Персональные данные физического лица – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), включая:

- фамилия, имя, отчество;

- дата и место рождения;

- пол;

- номер, дата выдачи, место выдачи, документа, удостоверяющую личность;

- образование (образовательное учреждение, время обучения, присвоенная квалификация);

- трудовой стаж и места работы (город, название организации, должность, сроки работы);

- место регистрации, фактического проживания;

- контактная информация (телефон, адрес электронной почты, почтовый адрес);

- сведения о постановке на налоговый учет (ИНН);

- сведения о регистрации в Пенсионном фонде (номер страхового свидетельства);

- сведения об открытом банковском счете;

- водительский стаж, реквизиты водительского удостоверения, типы транспортных средств, разрешенных к управлению;

- сведения о воинской обязанности;

- сведения о приеме, переводе, увольнении и иных событиях, относящиеся к трудовой деятельности в Компании;

- сведения о доходах в Компании;

- сведения о деловых и иных личных качествах, носящих оценочный характер;

- сведения взаимоотношениях с Компанией в качестве Клиента, Контрагента или в иной роли.

3.14. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

3.15. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

3.16. Подразделение информационных технологий – подразделение, специально уполномоченное лицо Компании, или сторонняя компания, действующая на основании договора по оказанию соответствующих услуг с Компанией, на которое возложены функции по предоставлению информационных сервисов и обеспечению бесперебойной эксплуатации информационных систем обработки персональных данных.

3.17. Информационная система обработки персональных данных – Информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

3.18. Веб-сайт – совокупность программных, информационных, а также медийных средств, логически связанных между собой, собственником или пользователем (на основании договора/соглашения, заключенного Компанией с собственником веб-сайта) которых является Компания.

3.19. Специально уполномоченные лица – должностные лица Компании, которые допущены к обработке персональных данных приказом Генерального директора.

3.20. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

3.21. Электронный документ – документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах.

3.22. Подразделение информационной безопасности – структурное подразделение Компании или другого юридического лица, действующее на основании договора с Компанией, осуществляющее контроль за соблюдением правил по обработке и сохранности персональных данных.

3.23. Кадровое подразделение – структурное подразделение Компании, ответственное за кадровое делопроизводство, или структурное подразделение иной организации, ответственное за кадровое делопроизводство Компании, действующее на основании договора по оказанию соответствующих услуг.

4. Цели обработки персональных данных

4.1. Персональные данные в Компании могут обрабатываться в следующих целях:

4.1.1. Заключение, исполнение и прекращение гражданско-правовых договоров с физическими, юридическими лицами, индивидуальными предпринимателями и иными лицами в случаях, предусмотренных законодательством Российской Федерации и Уставом Компании.

4.1.2. Организации кадрового учета Компании, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам; ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также страховых взносов, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с законодательством Российской Федерации.

4.1.3. Обработка и хранение информации с персональными данными субъектов, являющихся соискателями на трудоустройство в Компанию (резюме и анкета соискателя) для проверки требований на соответствие уровню образования, дополнительных знаний и навыков, при принятии на вакантную должность.

4.1.4. Обработка и хранение информации, содержащей персональные данные субъектов во внутренних информационных системах обработки персональных данных, включая электронный документооборот, обеспечивающих исполнение работниками должностных обязанностей и функционирование подразделений Компании.

4.1.5. Обработки персональных данных по поручению оператора(-ов) персональных данных при заключении договоров на обработку персональных данных с оператором персональных данных. В том числе с использованием трансграничной передачи данных на территорию иностранных государств, являющимися сторонами Конвенции (Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Заключена в г. Страсбурге 28.01.1981 г.)), с обеспечением адекватной защиты прав субъектов персональных данных.

4.1.6. Осуществления статистических или иных исследовательских целей, за исключением целей продвижения товаров, работ, услуг на рынке, а также за исключением целей политической агитации, при условии обязательного обезличивания персональных данных.

4.1.7. Создания личных кабинетов Клиентов и посетителей веб-сайта Компании, формирования учетных записей и обработки заявок на коммуникацию.

4.1.8. Идентификация, авторизация и аутентификация Клиента в качестве пользователя веб-сайта Компании.

4.1.9. Идентификация Клиента и его уполномоченных лиц в рамках обеспечения надлежащего исполнения заказов на продукцию Компании, договоров поставок и обязательств по ним, в том числе гарантийных и сервисных обязательств, стороной которых является или будет являться субъект персональных данных.

4.1.10. Передача персональных данных:

- оконным и фасадным компаниям, их дилерам, агентам и представителям, являющихся партнерами Компании, с целью предоставления Клиенту контактных данных, информации, консультационной, технической или сервисной поддержки по вопросам приобретения или обслуживания светопрозрачных конструкций и связанных с ними услуг;

- техническим партнерам и/или обработчикам с целью обеспечения технической возможности обработки и использования обезличенных данных Клиента;

- ООО «Яндекс» (адрес местонахождения: Российская Федерация, 119021, Россия, г. Москва, ул. Льва Толстого, д. 16) с целью сбора и хранения информации о посещаемости веб-сайта Компании, предпочтениях и поведении посетителя веб-сайта Компании, его идентификация с целью проведения маркетинговых исследований сервисом «Яндекс.Метрика»;

- иным третьим лицам, с которыми Компания взаимодействует на основании договоров/соглашений, включающих условия обработки персональных данных, и с целью оказания услуг и информирования и исключительно в объеме, необходимом для оказания таких услуг.

4.1.11. Идентификация Клиентов, их уполномоченных лиц, выгодоприобретателей в рамках соблюдения требований законодательства об инвестиционных фондах и в сфере противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансирования терроризма.

4.1.12. Любые контакты с Клиентом по указанным им каналам связи, в том числе для аналитики действий физического лица на веб-сайте, обработки входящих запросов, направления информации о продуктах и услугах Компании, выполнения условий договоров (стороной которых является или будет являться субъект персональных данных), размещения объявления о продаже/покупке недвижимости, информационного обмена между Компанией и партнерами Компании, а также направление рекламно-информационных рассылок о любых проводимых маркетинговых и рекламных акциях, предоставления справочной информации, в рамках полученного от Клиента согласия на коммуникацию (Приложение № 2).

4.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.

4.3. Обработка персональных данных, несовместимых с целями сбора персональных данных, не допускается.

4.4. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным в Положении целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

5. Принципы и условия обработки персональных данных

5.1. Обработка персональных данных в Компании осуществляется с соблюдением следующих принципов и правил:

- обработка осуществляется на законной и справедливой основе;

- обработка ограничивается достижением конкретных, заранее определенных и законных целей;

- обработке подлежат персональные данные, отвечающие целям обработки, при обязательном соответствии их объема и содержания заявленным целям обработки;

- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

- при обработке обеспечиваются точность и достаточность персональных данных и, при необходимости, актуальность по отношению к целям обработки с принятием мер по удалению или уточнению неполных или неточных данных либо обеспечением принятия таких мер;

- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

- обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

5.2. Обработка персональных данных допускается в следующих случаях:

- обработка персональных данных осуществляется с письменного согласия субъекта персональных данных на обработку его персональных данных, с указанием перечня данных, целей и сроков их обработки;

- обработка персональных данных, полученных с веб-сайта Компании, осуществляется с явно выраженного в электронном виде согласия субъекта персональных данных на обработку его персональных данных, с указанием перечня данных, целей и сроков их обработки на веб-сайте Компании. Электронное согласие на обработку персональных данных субъекта не может быть получено при сборе категорий, описанных в статьях 8, 10, 11, 12 и 16 Федерального закона от 27.07.2006 г. №152-ФЗ «О защите персональных данных»;

- обработка персональных данных необходима для достижения целей, предусмотренных настоящим Положением, законом, для осуществления и выполнения возложенных на оператора законодательством Российской Федерации функций, полномочий и обязанностей;

- обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее – исполнение судебного акта);

- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

- обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

- обработка персональных данных при условии обязательного обезличивания персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей продвижения товаров, работ, услуг на рынке, а также за исключением целей политической агитации;

- обработка персональных данных, доступ к которым предоставлен субъектом персональных данных по его просьбе или с его согласия неограниченному кругу лиц (общедоступные персональные данные);

- обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;

- обработка персональных данных по поручению оператора(-ов) персональных данных. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые могут совершаться при обработке персональных данных Компанией, а также цели обработки с указанием требований к защите обрабатываемых персональных данных. Обработка персональных данных по поручению оператора(-ов) осуществляется в Компании без согласия субъекта персональных данных на обработку его персональных данных. В случае если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.

5.3. Обработка персональных данных, осуществляемая с согласия субъекта персональных данных, должна включать в себя:

5.3.1. В случае письменного согласия:

- фамилию, имя, отчество (при его наличии), адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- фамилию, имя, отчество (при его наличии), адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

- наименование или фамилию, имя, отчество (при его наличии) и адрес оператора, получающего согласие субъекта персональных данных;

- цель обработки персональных данных;

- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов и информационных систем обработки персональных данных;

- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

- подпись субъекта персональных данных и дата оформления согласия.

5.3.2. В случае электронного согласия:

- наименование или фамилию, имя, отчество (при его наличии) и адрес оператора, получающего согласие субъекта персональных данных;

- цель обработки персональных данных;

- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов и информационных систем обработки персональных данных;

- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

- оповещение, с однозначно определяемым действием субъекта персональных данных, подтверждающее его согласие на обработку персональных данных.

5.4. Компания не имеет права обрабатывать специальные категории персональных данных субъектов персональных данных об их расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, интимной жизни.

5.5. Обработка специальной категории персональных данных о состоянии здоровья субъектов осуществляется в Компании с письменного согласия субъектов либо без их согласия в определенных случаях:

- персональные данные сделаны общедоступными субъектом персональных данных;

- обработка персональных данных осуществляется в соответствии законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

- обработка персональных данных осуществляется в соответствии с Федеральным законом от 28.12.2010 г. №390-ФЗ «О безопасности» и Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных»;

- обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством Российской Федерации.

5.6. Обработка специальных категорий персональных данных незамедлительно прекращается, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.

5.7. Запрещается обработка персональных данных исключительно автоматизированной обработкой, в результате которой могут возникнуть юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие права и законные интересы субъекта. Исключительно автоматизированная обработка персональных данных субъекта возможна только при наличии согласия субъекта в письменной форме или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения.

5.8. Компания при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Персональные данные в Компании относятся к защищаемой информации, в связи с чем к обрабатываемым в Компании персональным данным предъявляется обязательное требование соблюдения конфиденциальности. Требование соблюдения конфиденциальности не предъявляется к обрабатываемым в Компании общедоступным персональным данным и, соответственно, ко всем процессам передачи общедоступных персональных данных – распространению, предоставлению и доступу. К процессам передачи персональных данных, не являющихся общедоступными, – предоставлению персональных данных и доступу к ним – предъявляются обязательные требования соблюдения конфиденциальности, главным из которых является передача персональных данных по защищенным (зашифрованным) каналам связи или в защищенном (зашифрованном) виде по открытым каналам связи. Запрещается предоставление персональных данных, не являющихся общедоступными, в открытом (незащищенном, незашифрованном) виде.

5.9. Работники Компании, не входящие в список специально уполномоченных лиц, допущенных к обработке персональных данных, но имеющие доступ к персональным данным, представляют работодателю письменные обязательства о неразглашении персональных данных по утвержденной форме.

6. Сбор, запись, систематизация, накопление, хранение, обновление, изменение, извлечение и использование персональных данных

6.1. Обработка персональных данных Клиентов Компании и пользователей веб-сайта Компании:

6.1.1. В состав персональных данных Клиентов Компании входит информация, предоставляемая Клиентом из официальных документов, при заключении договоров с Компанией, или заполнения форм обратной связи на веб-сайте Компании, или регистрации личного кабинета на веб-сайте Компании.

6.1.2. Запрещается требовать от Клиента или пользователя веб-сайта Компании сообщать о себе сведения из специальных категории персональных данных, и свыше необходимых данных, требуемых для достижения целей обработки, заключения и ведения договоров, оформления заявок на получения связи, создания личного кабинета посетителя веб-сайта Компании.

6.1.3. Хранение бумажных экземпляров договоров, копий документов и электронных регистрационных данных Клиентов Компании осуществляется в условиях, обеспечивающих защиту от несанкционированного доступа.

6.1.4. При подписании согласия на обработку персональных данных на бумажном носителе Клиент ознакамливается и подписывает согласие по утвержденной форме.

6.1.5. При выражении согласия на обработку персональных данных на веб-сайте Компании посетитель ознакамливается и подтверждает, при помощи электронных средств верификации конкретного действия, согласие по форме, указанной в Приложении №1. Согласие необходимо, в том числе на передачу данных сторонним метрическим программ и систем аналитики, таким как «Яндекс.Метрика» и другие.

6.1.6. Все персональные данные Клиента следует получать от него самого. Если персональные данные Клиента возможно получить только у третьей стороны, то Клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

6.1.7. При принятии решений, затрагивающих интересы Клиента, ответственное лицо Компании не имеет права основываться на персональных данных Клиента, полученных исключительно в результате их автоматизированной обработки или электронного получения.

6.1.8. Защита персональных данных Клиента от неправомерного их использования или утраты должна быть обеспечена Компании за счет его средств в порядке, установленном настоящим Положением и иными федеральными законами.

6.2. Обработка персональных данных с помощью файлов cookie:

6.2.1. Cookie – текстовой файл небольшого размера, который направляется веб-сервером и сохраняется на компьютере, мобильном телефоне или любом другом устройстве, имеющем доступ в информационно-телекоммуникационную сеть Интернет, при посещении сайта Компании. Файлы cookie не представляют угрозы для устройства, поскольку являются текстом, а не запускаемыми программами.

6.2.2. Каждый раз при открытии страницы веб-сайта браузер пересылает указанный текстовый файл веб-серверу в составе HTTP-запроса, чтобы предоставить такому веб-серверу информацию о действиях или предпочтениях посетителя сайта. Использование файлов cookie обеспечивает более быструю и комфортную работу с сайтом Компании и упрощение клиентского опыта его пользования.

6.2.3. Сайт Компании использует файлы cookie, в частности для сбора сведений и контроля взаимодействия посетителей с сайтом. Компания регистрирует благодаря таким файлам предпочтения и настройки посетителей сайта. Совокупная собранная информация позволяет Компании анализировать модели трафика на сайте и повышать удобство навигации. Сбор статистики происходит, в том числе, с использованием метрических программ и систем аналитики таких как Яндекс.Метрика и другие.

6.2.4. На сайте Компании используются следующие типы файлов cookie:

- технические (обязательные) файлы cookie – требуются для обеспечения функционирования сайта Компании и не подлежат отключению. Они не сохраняют какую-либо информацию о посетителях сайта, которая может быть использована в маркетинговых целях или для учёта посещаемых им сайтов в информационно-телекоммуникационной сети «Интернет»;

- функциональные файлы cookie – являются критически важными для работы сайта Компании и позволяют обеспечивать работу полезных функций сайта, запоминать предпочтения посетителей сайта, выбранные ими настройки, а также оценивать работу сайта Компании и совершенствовать взаимодействие посетителей сайта с ним;

- аналитические/целевые файлы cookie – позволяют подсчитывать количество и длительность посещений сайта Компании, анализировать то, как посетители сайта используют сайт, что помогает Компании оценивать и улучшать работу сайта. Можно как удалять уже сохраненные файлы cookie по своему желанию, так и ограничить (запретить) их сбор, задав соответствующие настройки в браузере. При отказе от использования файлов cookie Компания не сможет гарантировать полноценную и эффективную работу всех функциональных возможностей своего сайта.

6.2.5. На сайте Компании реализована функция предупреждения посетителей сайта об использовании файлов cookie, в том числе третьими лицами для аналитического исследования и формирования статистики.

6.2.6. Пользователь сайта Компании имеет право запретить обработку файлов cookie с помощью настроек браузера.

6.3. Обработка персональных данных работников Компании и соискателей:

6.3.1. В состав персональных данных работников Компании входит документально подтвержденная информация, получаемая из официальных документов работника, предъявляемых им при приёме на работу, а также из документов, полученных работником Компании в процессе его трудовой деятельности.

6.3.2. При заключении трудового договора лицо, поступающее на работу в Компанию (далее – соискатель), предъявляет в кадровое подразделение Компании документы в соответствии со ст. 65 Трудового кодекса Российской Федерации, анкету и согласие на обработку своих персональных данных, в том числе биометрических данных, по форме, приведенной в Приложении №3.

6.3.3. Запрещается требовать от работника Компании или соискателя сообщать о себе сведения из специальных категории персональных данных, кроме письменно подтвержденного согласия о передаче сведений о состоянии здоровья субъекта, а также любые дополнительные сведения, обязанность предоставления которых не вменена ему Трудовым кодексом, иными Федеральными законами, Указами Президента Российской Федерации и Постановлениями Правительства Российской Федерации.

6.3.4. При оформлении работника в Компанию представителем кадрового подразделения, как специально уполномоченным лицом Компании, заполняется «Личная карточка работника», в которой на основании документов, представленных работником в кадровое подразделение, отражаются его персональные данные в соответствии со ст. 65 Трудового кодекса Российской Федерации. В процессе дальнейшей трудовой деятельности работника в Компании изменения его персональных данных отражаются установленным порядком в указанной личной карточке, а также в личной папке работника и его трудовой книжке. Количество персональных данных субъекта персональных данных не должно превышать изначального перечня получаемых Компанией данных.

6.3.5. Хранение личных папок, личных карточек и трудовых книжек работников Компании осуществляется в кадровом подразделении на бумажном носителе в условиях, обеспечивающих защиту от несанкционированного доступа.

6.4. Способы получения Компанией резюме от соискателей подразделяются на следующие:

6.4.1. На бумажном носителе представителем (работником) Компании непосредственно от соискателя. Согласие на бумажном носителе должно быть получено от соискателя одновременно с получением резюме.

6.4.2. На бумажном носителе по почте на официальный адрес Компании. Резюме (при отсутствии во вложении согласия на бумажном носителе) подлежит уничтожению в день поступления, при этом допускается направление по обычной или электронной почте ответа отправителю с указанием необходимости получения от соискателя согласия на бумажном носителе. Согласие на бумажном носителе может быть получено от соискателя лично, либо по почте вместе с повторно направленным резюме.

6.4.3. В электронном виде, по электронной почте, на адрес электронной почты, принадлежащий Компании. Резюме (при отсутствии полученного ранее согласия на бумажном носителе) подлежит уничтожению в день поступления, при этом допускается направление по электронной почте ответа отправителю с указанием необходимости получения от соискателя согласия на бумажном носителе. Согласие на бумажном носителе может быть получено от соискателя лично, либо по почте. Повторно направленное резюме на бумажном носителе или в электронном виде может быть получено одновременно, либо после получения согласия Компании.

6.4.4. В электронном виде или на бумажном носителе при получении резюме от кадрового агентства, с которым у Компании заключен соответствующий договор. Согласие на бумажном носителе от соискателя в этом случае не требуется, т. к. получено согласие о передаче данных третьим лицам.

6.4.5. В электронном виде при поиске резюме на общедоступных ресурсах в сети Интернет. Согласие на бумажном носителе от соискателя в этом случае не требуется, однако для подтверждения факта размещения соискателем своего резюме в сети Интернет специалистом, ответственным за подбор персонала, распечатывается снимок копии с экрана, которая позволяет однозначно подтвердить указанный факт.

6.5. Обработка персональных данных работника Компании не требует получения согласия при условии, что объем обрабатываемых в Компании персональных данных не превышает установленные перечни, а также соответствует целям обработки предусмотренным трудовым законодательством Российской Федерации:

6.5.1. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

6.5.2. При определении объема и содержания обрабатываемых персональных данных работника работодатель руководствуется Конституцией Российской Федерации, настоящим Положением и иными федеральными законами.

6.5.3. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Специально уполномоченные лица Компании должны сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

6.5.4. Компания не имеет права получать и обрабатывать сведения о работнике относящиеся, в соответствии с законодательством Российской Федерации в области персональных данных, к специальным категориям персональных данных, за исключением случаев, предусмотренных настоящим Положением и другими федеральными законами.

6.5.5. Компания не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Положением или иными федеральными законами.

6.5.6. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

6.5.7. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена Компанией за счет его средств в порядке, установленном настоящим Положением и иными федеральными законами.

6.5.8. Работники и их представители должны быть ознакомлены под расписку с документами Компании, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Клиенты и лица, персональные данных которых обрабатываются в Компании с письменного согласия, должны иметь возможность ознакомиться с настоящим Положением.

6.5.9. Работники Компании не должны отказываться от своих прав на сохранение и защиту тайны.

6.6. Компания как работодатель вправе без соответствующего согласия осуществлять обработку персональных данных работника в случаях, предусмотренных коллективным договором, соглашением, правилами внутреннего трудового распорядка, а также локальными актами Компании, принятыми в порядке, установленном ст. 372 Трудового кодекса Российской Федерации, то есть c учетом мнения выборного органа первичной профсоюзной организации, в случае, предусмотренных действующим законодательством.

6.7. Получение согласия работника Компании на обработку персональных данных не требуется в следующих случаях:

6.7.1. при обработке специальной категории персональных данных работника Компании о состоянии его здоровья по вопросу о возможности выполнения работником трудовой функции в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации в соответствии с п. 2.3 ч. 2 ст. 10 Федерального закона от 27.07.2006 г. №152-ФЗ «О защите персональных данных»;

6.7.2. при обработке персональных данных уволенного работника, в случае наличия оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 г. №152-ФЗ «О защите персональных данных».

6.8. Обработка персональных данных родственников работников Компании:

6.8.1. Обработка персональных данных о несовершеннолетних лицах, родственниках работников Компании, осуществляется в Компании только с согласия их законных представителей (родителей, усыновителей, попечителей, опекунов). Для обработки информации являющейся персональными данными совершеннолетних и дееспособных близких родственников работников Компании требуется письменное согласие субъектов обработки персональных данных.

6.9. Обработка персональных данных посетителей Компании:

6.9.1. Обработка персональных данных посетителей осуществляется с целью профилактики правонарушений и обеспечения сохранности имущества. Оператором, обрабатывающим и обеспечивающим хранение персональных данных посетителей, выступает соответствующее подразделение Компании и/или частное охранное предприятие, с которым Компанией заключен договор на оказание услуг охраны помещений и территории.

6.9.2. Обработка персональных данных посетителей, необходимых для обеспечения прохода на территорию Компании, осуществляется на основании п. 8 Постановления Правительства Российской Федерации от 15.09.2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

6.9.3. Для обеспечения прохода и установления личности используются: фамилия, имя и отчество (при его наличии), дата рождения и гражданство, а также данные паспорта гражданина Российской Федерации или иной страны, вносимые в специальный журнал (реестр, книгу). Доступ к персональным данным имеют только специально уполномоченные лица, зафиксированные в соответствующих актах Оператора (поименно или по должностям). Копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается.

6.10. Обработка персональных данных физических лиц при заключении с ними гражданско-правовых договоров:

6.11. При получении Компанией от потенциальных и существующих Контрагентов доверенности, то есть письменного уполномочия, выдаваемого одним лицом другому лицу для представительства перед третьими лицами, а также последующего распространения копий такой доверенности неограниченному кругу лиц, персональные данные, изложенные в такой доверенности, являются общедоступными и обработка этих персональных данных осуществляется в Компании без необходимости соблюдения требования конфиденциальности и без согласия субъектов персональных данных.

6.11.1. Обработка персональных данных физических лиц при выполнении ими работ (оказании услуг) для Компании по гражданско-правовым договорам, за исключением персональных данных, изложенных в выданной такому физическому лицу доверенности (при ее наличии), осуществляется в Компании только с их письменного согласия (Приложение №3).

7. Распространение и предоставление персональных данных, доступ к персональным данным

7.1. При предоставлении специально уполномоченным лицам Компании (техническими партнерами/обработчиками/операторами) персональных данных субъектов (раскрытии персональных данных определенному лицу или определенному кругу лиц) Компания должна соблюдать следующие требования:

7.1.1. Допускать к обработке персональных данных субъектов только специально уполномоченных лиц Компании, при этом указанные лица должны иметь право получать только те персональные данные субъектов, которые необходимы для выполнения конкретной функции.

7.1.2. Персональные данные субъектов могут обрабатываться в одной или нескольких информационных системах Компании, а также на бумажном носителе, согласно перечням Положения.

7.1.3. На основании утвержденного Генеральным директором Компании перечня должностей Компании, допущенных к обработке персональных данных в централизованных информационных системах Компании, перечня персональных данных, обрабатываемых в локальных информационных системах, и перечня персональных данных, обрабатываемых на бумажных носителях в Компании, допуск конкретных специально уполномоченных лиц Компании к обработке персональных данных субъектов персональных данных осуществляется установленным порядком (заявки на доступ к информационной системе, служебные записки и т. п.). Указанные работники берут на себя обязательства о неразглашении конфиденциальной информации о персональных данных (Приложение №5).

7.2. При предоставлении специально уполномоченными лицами Компании персональных данных субъектов лицам, не имеющим отношения к Компании (третьим лицам), предъявляются следующие требования:

7.2.1. Не сообщать персональные данные субъектов третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, установленных федеральными законами. Форма письменного согласия субъекта персональных данных на передачу персональных данных третьим лицам и перечень персональных данных, определенный субъектом персональных данных для их передачи третьим лицам, приведена в Приложении №4.

7.2.2. Не сообщать персональные данные субъектов в коммерческих целях без их письменного согласия.

7.2.3. Обработка персональных данных субъектов в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с их письменного согласия.

7.2.4. Передавать персональные данные субъектов их представителям в порядке, установленном действующим законодательством, и ограничивать эту информацию только теми персональными данными субъектов, которые необходимы для выполнения указанными представителями их функции.

7.2.5. Компания вправе поручить обработку персональных данных субъектов другому оператору персональных данных/техническому партнеру на основании поручения об обработке персональных данных, с согласия субъектов персональных данных или без их согласия, в случаях, предусмотренных федеральным законом. К такой обработке могут относиться:

- оформление банковских карт;

- оформление страховых полисов;

- получение субъектами персональных данных медицинских услуг (прохождение медицинских комиссий, профосмотров и т. п.);

- иные потребности Компании в обработке персональных данных субъектов персональных данных с помощью других лиц, с указанием технического партнера/оператора обработки персональных данных, перечня передаваемых персональных данных и действий, которые будут с ними производиться, и сроков их обработки, а также способы отзыва обработки персональных данных оператором.

7.2.6. Предоставление персональных данных субъектов в адрес третьих лиц осуществляется без согласия субъектов:

- при предоставлении персональных данных субъектов в Фонд социального страхования Российской Федерации, Пенсионный фонд Российской Федерации, Федеральную налоговую службу Российской Федерации, военные комиссариаты, профсоюзные органы в случаях, предусмотренных действующим законодательством Российской Федерации;

- при предоставлении персональных данных субъектов в негосударственные пенсионные фонды, в которых состоят субъекты;

- при предоставлении персональных данных субъектов для оформления страховых полисов обязательного и добровольного медицинского страхования;

- при предоставлении персональных данных субъектов в правоохранительные органы, государственным инспекторам труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и в адрес иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации, при получении Компанией от них, в рамках установленных полномочий, мотивированных запросов. Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации;

- при предоставлении персональных данных работников Компании третьим лицам в случаях, связанных с выполнением работником должностных обязанностей, в том числе при его командировании в соответствии с Правилами предоставления гостиничных услуг в Российской Федерации, утвержденными Постановлением Правительства Российской Федерации от 09.10.2015 № 1085, нормативными правовыми актами в сфере транспортной безопасности и иными нормативными документами. Согласие работника Компании не требуется только в том случае, если передача персональных данных осуществляется работником самостоятельно;

- при предоставлении персональных данных субъектов в иных случаях, предусмотренных действующим законодательством Российской Федерации.

7.2.7. Предоставление персональных данных субъектов в адрес третьих лиц осуществляется при обязательном согласии субъектов в следующих случаях:

- при предоставлении персональных данных субъектов в какие-либо организации в случае поступления запросов из этих организаций, не обладающих соответствующими полномочиями;

- при предоставлении персональных данных субъектов кредитным организациям для оформления по инициативе работодателя платежной карты для возможности перечисления на указанную карту заработной платы работника в случае наличия у работодателя доверенности на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты работнику либо в случае, когда соответствующая форма и система оплаты труда установлена в коллективном договоре;

- при предоставлении персональных данных субъектов кредитным организациям для непосредственного перечисления на имеющуюся у работника карту заработной платы работника. При этом перечень предоставляемых персональных данных должен исчерпываться фамилией, именем и отчеством (при его наличии) работника, а также реквизитами банковской карты работника, на которую производится перечисление;

- при предоставлении персональных данных субъектов третьим лицам в случаях, связанных с организацией обучения работников Компании;

- при предоставлении персональных данных работников Компании и иных лиц, с которыми заключены соглашения об обработке персональных данных третьим лицам в случаях, связанных с приобретением авиа- и железнодорожных билетов и (или) бронированием гостиниц, а также получением визы на выезд за границу при оказании этих услуг посреднической организацией, у которой заключен договор с Компанией. Ответственным за получение и хранение такого согласия в случае приобретения билетов, бронирования гостиниц и (или) оформления визы является специалист по кадровому администрированию Компании, а также лица, действующие на основании договора и поручения;

- при предоставлении персональных данных Клиентов Компании, с которыми заключены соглашения об обработке персональных данных третьим лицам в случаях, связанных с исполнением Компанией договорных обязательств;

- при предоставлении персональных данных субъектов в иных случаях, за исключением описанных в пунктах 7.2.4–7.2.5 настоящего Положения.

7.2.8. Во всех случаях предоставления персональных данных субъектов лицам, имеющих договорные отношения с Компанией, обеспечивающих защиту при обработке персональных данных (раскрытии персональных данных определенному лицу или определенному кругу лиц), должны соблюдаться требования конфиденциальности. В случае, если персональные данные субъекта предоставляются третьим лицам самим субъектом персональных данных, требования конфиденциальности не являются обязательными (примером может служить отправка работником Компании своих персональных данных по электронной почте в открытом виде в адрес любых третьих лиц).

7.2.9. В случае, если требования конфиденциальности выполнить невозможно (например, если между Компанией и обработчиком персональных данных, которому поручена обработка, отсутствует возможность пересылать персональные данные в зашифрованном виде), то предоставление персональных данных субъектов по незашифрованным каналам связи не осуществляется.

7.2.10. При распространении персональных данных субъектов (раскрытии персональных данных неопределенному кругу лиц) Компания должна заранее получить письменное согласие субъектов персональных данных о признании субъектами своих персональных данных общедоступными за исключением случаев, установленных федеральными законами, когда согласие субъектов не требуется. Согласие требуется в следующих случаях:

- при необходимости оформления доверенности работнику Компании или иному лицу (например, представителю спецсвязи), то есть письменного уполномочия, выдаваемого одним лицом другому лицу для представительства перед третьими лицами, а также последующего распространения копий такой доверенности неограниченному кругу лиц;

- при размещении персональных данных руководства Компании на официальном веб-сайте Компании или иных официальных веб-сайтах в сети Интернет в случаях, когда действующим законодательством на Компанию не возложена обязанность по информированию граждан о персональных данных руководства Компании или в случаях, когда объем размещаемых персональных данных руководства Компании на официальном веб-сайте или иных официальных веб-сайтах в сети Интернет превышает объем, определенный действующим законодательством;

- при размещении персональных данных работников Компании на досках почета;

- при размещении биометрических данных (фотографические изображения) на досках почета и общедоступных ресурсах.

7.3. При распространении персональных данных субъектов (раскрытии персональных данных неопределенному кругу лиц) не требуется получение согласия субъектов персональных данных о признании субъектом своих персональных данных общедоступными в следующих случаях:

7.3.1. При размещении персональных данных руководства Компании на официальном веб-сайте или иных официальных веб-сайтах в сети Интернет в случаях, когда в соответствии с действующим законодательством Компания обязана информировать граждан о персональных данных руководства Компании в объемах, не превышающих объем персональных данных, определенный действующим законодательством.

7.3.2. Не требуется получение согласия субъектов персональных данных в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации.

7.3.3. При предоставлении Компании доступа к собственным информационным системам ограниченного перечня третьих лиц на основании договоров, требуется ознакомление субъекта персональных данных с информацией, которая фигурирует в информационной системе, с перечнем данных, которые обрабатываются в информационной системе обработки персональных данных.

8. Обезличивание, блокирование, удаление и уничтожение персональных данных

8.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому, является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, либо при получении уведомления от субъекта персональных данных о прекращении обработки его персональных данных, если иное не предусмотрено федеральными законами.

8.2. Обязательное обезличивание персональных данных производится для осуществления статистических или иных исследовательских целей, за исключением целей продвижения товаров, работ, услуг на рынке (необходимо получение согласия на обработку персональных данных), а также за исключением целей политической и религиозной агитаций.

8.3. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Компания обязана осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Компания обязана осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

8.4. В случае подтверждения факта неточности персональных данных Компания на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязано уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

8.5. В случае выявления работником или специально уполномоченным лицом Компании неправомерной обработки персональных данных, необходимо в срок, не превышающий трех рабочих дней с даты этого выявления, информировать о нарушении обработки персональных данных лиц ответственных за сохранность персональных данных в Компании с целью прекращения неправомерной обработки персональных данных или обеспечения прекращения неправомерной обработки персональных данных лицом, действующим по поручению Компании. В случае, если обеспечить правомерность обработки персональных данных невозможно, Компания в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Компании обязано уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

8.6. В случае достижения цели обработки персональных данных Компания обязана прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Компанией и субъектом персональных данных либо если Компания не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

8.7. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Компания обязана прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Компанией и субъектом персональных данных либо если Компания не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

8.8. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 8.5–8.7 настоящего Положения, Компания осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Компании) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

9. Защита персональных данных

9.1. Защита персональных данных направлена на обеспечение защиты персональных данных субъектов от неправомерного доступа и неправомерной их обработки, а также от иных неправомерных действий в отношении персональных данных субъектов, и соблюдение конфиденциальности персональных данных субъектов.

9.2. Персональные данные субъектов зафиксированные на бумажных или электронных носителях, не подключенные к соответствующему устройству, хранятся в запирающихся шкафах, обеспечивающих защиту от несанкционированного доступа, с соблюдением требований действующего законодательства в структурных подразделениях осуществляющих обработку персональных данных либо организациях, которым поручено обработка и хранения персональных данных на основании договора.

9.3. Персональные данные субъектов обрабатываются как на бумажных носителях, так и в электронном виде – в информационных системах обработки персональных данных. Все меры конфиденциальности при обработке персональных данных субъектов распространяются как на бумажные, так и на электронные (автоматизированные) носители персональных данных работников, Клиентов и пользователей веб-сайтов, собственником которых является Компания.

9.4. При осуществлении трансграничной передачи персональных данных субъектов, Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных. При передаче данных на территорию государства, являющегося стороной Конвенции, получение согласия не требуется, в случае, если трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, необходимо наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных.

9.5. Для каждой из информационной системы приказом Генерального директора Компании назначается должностное лицо, ответственное за обеспечение безопасности персональных данных при их обработке в информационной системе обработки персональных данных. При этом одно должностное лицо может является ответственным за обеспечение безопасности персональных данных при их обработке в нескольких информационных системах обработки персональных данных.

9.6. Приказом Генерального директора Компании назначается структурное подразделение, либо должностное лицо ответственное за обеспечение безопасности персональных данных при их обработке в информационных системах обработки персональных данных.

9.7. Основные принципы при внутренней защите персональных данных:

- ограничение состава работников, в обязанности которых входит работа с персональными данными субъектов персональных данных;

- строгое избирательное и обоснованное распределение документов и информации между работниками, имеющими внутренний доступ к персональным данным;

- рациональное размещение рабочих мест работников, имеющих внутренний доступ к персональным данным, при котором исключается бесконтрольная обработка персональных данных работников;

- знание работниками, имеющими внутренний доступ к персональным данным, требований нормативных документов по защите персональных данных;

- наличие необходимых условий в помещении для работы с документами на бумажных носителях, содержащими персональные данные работников, и информационными системами обработки персональных данных;

- уничтожение персональных данных работников, не подлежащих хранению.

9.8. Основные принципы при внешней защите персональных данных:

- не допускается распространение посторонним лицам информации о распределении функций, рабочих процессах, технологии составления, оформления, ведения и хранения документов, содержащих персональные данные работников;

- наличие пропускного режима в Компании, ее обособленных подразделениях и офисах;

- строгий порядок охраны территории, зданий, помещений, транспортных средств Компании;

- требование к защите персональных данных работников при интервьюировании и собеседованиях.

10. Сроки обработки и хранения персональных данных

10.1. Сроки обработки и хранения персональных данных определяются в соответствии с действующим законодательством Российской Федерации.

11. Права субъектов персональных данных

11.1. Субъект персональных данных имеет право требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

11.2. Субъект персональных данных имеет право получать от Компании информацию, касающуюся обработки его персональных данных, в том числе содержащую:

- подтверждение факта обработки персональных данных;

- правовые основания и цели обработки персональных данных;

- цели и применяемые способы обработки персональных данных;

- сведения о лицах (за исключением уполномоченных лиц Компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных законом о персональных данных;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество (при его наличии) и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные федеральными законами.

11.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

- обработка персональных данных осуществляется в целях безопасности государства;

- доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

11.4. Субъект персональных данных имеет право обжаловать действия или бездействие Компании в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

11.5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

12. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

12.1. Компания, а также работники Компании, виновные в нарушении норм, регулирующих обработку и защиту персональных данных субъектов, несут дисциплинарную и иную ответственность в соответствии с законодательством Российской Федерации.

12.2. В случае, если оператор поручает обработку персональных данных Компании, ответственность перед субъектом персональных данных за действия Компании несет оператор. Компания, осуществляющая обработку персональных данных по поручению оператора, несет ответственность перед оператором.

14. Приложения

Приложение №1. Согласие на обработку персональных данных при использовании веб-сайта Компании.

Приложение №2. Согласие на рекламно-информационные рассылки.

Приложение №3. Согласие на обработку и хранение персональных данных.

Приложение №4. Согласие на передачу персональных данных третьим лицам.

Приложение №5. Обязательство о неразглашении персональных данных.

Ознакомиться с приложениями можно через соответствующий запрос на выделенный адрес электронной почты: support@stis.ru

Согласие на обработку персональных данных при использовании веб-сайта

(Приложение №1 к Положению об обработке и защите персональных данных)

Клиент (дееспособное физическое лицо, достигшее 18-летнего возраста) путем ввода принадлежащих ему данных в специальном поле на веб-сайте www.stis.ru (далее – Сайт) и последующего нажатия кнопки «Оставить заявку», «Перезвоните мне», «Заказать звонок», «Получить одобрение», «Подписаться», «Сохранить», «Зарегистрироваться», «Согласен», «Получить консультацию» или «Войти», в т. ч. при нажатии знака «Enter», устанавливая «галочку» согласия с обработкой персональных данных, как субъект персональных данных, дает свое согласие свободно, своей волей и в своем интересе ООО «Группа компаний «СтиС» (адрес места нахождения: 123007, г. Москва, вн.тер.г. мун. округ Хорошевский, ул. 5-я Магистральная, д. 4, пом. 6. (далее — Оператор)), а также уполномоченным Оператором третьим лицам, с которыми Оператор состоит в договорных отношениях (технический партнер/обработчик и т. д.) на обработку своих персональных данных, определенных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», в том числе, но не исключительно:

- фамилии, имени, отчества (при наличии), даты и места рождения, адреса регистрации по месту жительства или фактического пребывания, документа, удостоверяющего личность, контактный номера телефона, адреса электронной почты, а также иных данных, которые будут получены Оператором. Оставляя на Сайте заявку для получения консультаций и иной необходимой информации и последующее нажатие кнопки «Подписаться» «Подписаться на рассылку», «Зарегистрироваться», «Перезвоните мне», «Заказать обратный звонок», «Отправить», «Отправить заявку», «Заказать», «Согласен», «Получить», «Получить предложение» и др., в том числе при нажатии знака «Enter», Клиент указанными действиями направляет принадлежащий ему адрес электронной почты, номер телефона и/или иные данные Оператору, а также выражает согласие на получение консультаций по интересующим продуктам, товарам и услугам, посредством направления ответа по электронной почте и (или) телефону, а так же последующую коммуникацию по ним с сотрудниками компании Оператора, аффилированными или входящими в группу компаний с Оператором лицами.

Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными Клиента, включая сбор, хранение, накопление, систематизацию, уточнение (обновление, изменение), передачу (включая трансграничную передачу, предоставление, доступ, в том числе контролирующим органам), использование, обезличивание, блокирование, удаление и уничтожение, а также передача персональных данных следующим третьим лицам:

- оконным и фасадным компаниям, их дилерам, агентам и представителям, являющихся партнерами Оператора, с целью предоставления Клиенту контактных данных, информации, консультационной, технической или сервисной поддержки по вопросам приобретения или обслуживания светопрозрачных конструкций и связанных с ними услуг;

- ООО «Яндекс» (адрес местонахождения: Российская Федерация, 119021, Россия, г. Москва, ул. Льва Толстого, д. 16) с целью сбора и хранения информации о посещаемости Сайта, предпочтениях и поведении посетителя Сайта, его идентификация с целью проведения маркетинговых исследований сервисом «Яндекс.Метрика»;

- иным третьим лицам, с которыми Оператор взаимодействует на основании договоров/соглашений, включающих условия обработки персональных данных, и с целью оказания услуг и информирования и исключительно в объеме, необходимом для оказания таких услуг.

Целями обработки персональных данных помимо целей, указанных выше являются:

- идентификация Клиента и его уполномоченных лиц, выгодоприобретателей в рамках обеспечения надлежащего исполнения Оператором своих обязательств по договорам (стороной которых является или будет являться субъект персональных данных) в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;

- идентификация Клиентов, их уполномоченных лиц, выгодоприобретателей в рамках соблюдения требований законодательства об инвестиционных фондах и в сфере противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансирования терроризма;

- любые контакты с Клиентом по указанным им каналам связи, в том числе для аналитики действий Клиента на Сайте, обработки входящих запросов, направления информации о продуктах, товарах и услугах Застройщиков/правообладателей и/или Специализированных агентов и/или Оператора, выполнения условий договоров (стороной которых является или будет являться субъект персональных данных), размещения объявления о продаже/покупке недвижимости, информационного обмена между Оператором и другими лицами, с которыми Оператор имеет партнерские отношения (Партнеры Оператора), предоставления справочной информации, а так же проведение анкетирования и опросов сотрудниками Оператора, аффилированных лиц или уполномоченными лицами Оператора;

- для возможности пользования Клиентом сервисом Личный кабинет (как для возможности регистрации Клиента в Личном кабинете, так и/или в процессе/в течение всего периода пользования Личным кабинетом);

- анализа обезличенных данных с целью проработки и оптимизации эффективности рекламно-информационных материалов Оператора, рекламных кампаний и сайтов Оператора, а также с целью обеспечения технической возможности такого анализа и оптимизации;

- для возможности пользования Клиентом сервисом Личный кабинет (как для возможности регистрации Клиента в Личном кабинете, так и/или в процессе/в течение всего периода пользования Личным кабинетом);

- анализа обезличенных данных с целью проработки и оптимизации эффективности рекламно-информационных материалов Оператора, рекламных кампаний и сайтов Оператора, а также с целью обеспечения технической возможности такого анализа и оптимизации.

Клиент вправе в любое время запросить информацию, касающуюся обработки его персональных данных в соответствии с ч.7 ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а также отозвать согласие на обработку и (или) передачу персональных данных третьим лицам, отправив Уведомление об удалении персональных данных и/или отказе от передачи персональных данных третьим лицам на бумажном носителе, заказным письмом по адресу Оператора, либо в электронном виде по адресу support@stis.ru, с указанием в Уведомлении своей фамилии, имени, отчества (при наличии), возраста и города, номера телефона, а также адреса электронной почты, которые Клиент сообщал.

Клиент вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными.

Выражая настоящее согласие на обработку персональных данных, Клиент также подтверждает, что ознакомлен и согласен с Политикой конфиденциальности в отношении обработки персональных данных, размещенной по адресу: https://www.stis.ru/privacy-policy/ 

Выражая данное согласие Клиент подтверждает актуальность и достоверность, предоставленных персональных данных, в том числе телефонного номера.

Выражая настоящее согласие на обработку персональных данных, Клиент также подтверждает, что ознакомлен и согласен с тем, что вход в Личный кабинет (авторизация в Личном кабинете) осуществляется после регистрации в Личном кабинете, посредством одноразового пароля, высылаемого на телефонный номер, указанный Клиентом при регистрации в Личном кабинете.

В случае изменения Клиентом телефонного номера, указанного при регистрации в Личном кабинете, Клиент обязуется внести соответствующие изменение в настройках Личного кабинета. Вся ответственность за невыполнение данной обязанности лежит на Клиенте.

Настоящее согласие на обработку персональных данных действует в течение 10 (десяти) лет с даты выдачи настоящего Согласия, если не будет отозвано Клиентом ранее истечения данного срока.

Согласие на рекламно-информационные рассылки

(Приложение №2 к Положению об обработке и защите персональных данных)

1. Клиент (дееспособное физическое лицо, достигшее 18-летнего возраста), действуя своей волей и в своем интересе, дает свое согласие ООО «Группа компаний «СтиС» (адрес места нахождения: 123007, г. Москва, вн.тер.г. мун. округ Хорошевский, ул. 5-я Магистральная, д. 4, пом. 6. (далее по тексту – Оператор), а также аффилированным или входящим в группу компаний с Оператором лицам; организациям состоящими с Оператором в договорных отношениях и указанных в п. 5 настоящего Согласия, на получение рекламно-информационных рассылок указанных в п. 3 настоящего Согласия и соответствующих указанным Клиентом контактным данным (номеру телефона или электронной почте) о продуктах, товарах, услугах, маркетинговых и рекламных скидках и акциях Оператора (третьих лиц, состоящих в договорных отношениях с Оператором, чьи товары и услуги освещаются в рассылках), указанных в п. 2 настоящего Согласия. Согласны выражается путем ввода принадлежащих Клиенту персональных или контактных данных, а именно: Фамилии и Имени (если такая информация необходима для оказания услуг Клиенту), адреса электронной почты, номера контактного телефона, в специальные поля на сайте www.stis.ru (далее по тексту – Сайт) и устанавливая «галочку» соответствующего согласия на рекламно-информационные рассылки, и последующего нажатия кнопки «Оставить заявку», «Перезвоните мне», «Заказать звонок», «Получить одобрение», «Подписаться», «Сохранить», «Зарегистрироваться», «Согласен», «Получить консультацию» или «Войти», в том числе при нажатии знака «Enter».

2. Под рекламно-информационными рассылками понимается доведение до сведения Клиента информации рекламного или информационного характера о продуктах, товарах и услугах, маркетинговых и рекламных акциях и скидках Оператора.

3. Клиент, указывая в специальном поле на Сайте свои контактные данные в виде номера контактного телефона и/или электронный адрес почты и устанавливая «галочку» согласия на получение Клиентом рекламно-информационных рассылок, подтверждает свое согласие на рекламно-информационные рассылки, соответствующим типам, указанных Клиентом контактных данных, способам:

- SMS информирование на указанный Клиентом номер телефона;

- Отправку электронных писем на указанный (в случае указания Клиентом адреса электронной почты в специальном поле на Сайте), Клиентом электронный адрес почты;

- Голосовых сообщений, включая звонки с использованием голосовых ассистентов, на указанный Клиентом номер телефона;

- Звонков на указанный Клиентом номер телефона;

- Сообщений через чат-мессенджеры (Telegram, WhatsApp, Viber, Messenger (Fb) на указанный Клиентом номер телефона;

- Push-уведомления (mobile, desktop) – сообщение в формате уведомления, отображающееся во всплывающем окне устройства (смартфона, компьютера).

4. Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому Клиенту. Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций) с персональными данным, совершаемых с использованием средств автоматизации или без использования таких средств. К таким действиям (операциям) можно отнести: сбор, получение, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, в том числе трансграничную (предоставление, доступ), коммуникацию, обезличивание, блокирование, удаление, уничтожение персональных данных, передачу третьим лицам для дальнейшей обработки и коммуникации.

5. Обработку обезличенных персональных и контактных данных Клиента в целях: осуществления и технической возможности осуществления рекламно-информационных рассылок по поручению Оператора и от имени Оператора с привлечением третьих лиц и применением обезличенных контактных и персональных данных (в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных») могут осуществлять юридические лица, с которыми у Оператора заключено соответствующее поручение на обработку персональных данных.

6. Настоящее Согласие вступает в силу с даты получения Согласия от Клиента и действует в течение неопределенного срока. Клиент вправе в любое время отозвать Согласие, отправив Уведомление об отказе от рассылки рекламно-информационной рассылки по адресу support@stis.ru с указанием в Уведомлении своей фамилии, имени, отчества (при наличии), возраста и города, номера телефона, а также адреса электронной почты, которые Клиент сообщал.

7. Выражая данное Согласие Клиент подтверждает актуальность и достоверность предоставленных персональных и контактных данных.

8. При использовании персональных данных Оператор руководствуется Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Федеральным законом от 13.03.2006 г. № 38-ФЗ «О рекламе» и локальными нормативными актами.