Политика в отношении обработки персональных данных
ООО «Джей Эс Эй Групп»
1. Введение.
1.1. Настоящий документ определяет политику ООО «Джей Эс Эй Групп» (далее – «Компания») в отношении обработки персональных данных (далее - ПДн) работников Компании и иных субъектов ПДн.
1.2. Компания является оператором ПДн в соответствии с законодательством Российской Федерации о персональных данных.
1.3. Настоящая Политика в отношении обработки персональных данных в ООО «Джей Эс Эй Групп» (далее – «Политика») разработана в соответствии с действующим законодательством Российской Федерации о персональных данных, в том числе: - Конституция Российской Федерации; - Федеральный закон Российской Федерации от 27 июля 2006 г. №152-ФЗ «О персональных данных»; - Постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; - Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; - Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) от 24 февраля 2021 года № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»; - иные нормативные акты, регулирующие обработку ПДн.
1.4. Компания, оператор ПДн принимает необходимые и достаточные для обеспечения выполнения обязанностей меры, предусмотренные законодательством Российской Федерации:
− назначает ответственного руководителя за организацию обработки персональных данных в Компании;
− издает документы, определяющие политику оператора в отношении обработки персональных данных и локальные акты по вопросу обработки ПДн, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ;
− применяет правовые, организационные и технические меры по обеспечению безопасности ПДн;
− осуществляет внутренний контроль и аудит соответствия обработки ПДн требованиям законодательства и нормативно-правовых актов, требований к защите персональных данных Компании;
− проводит оценку вреда, который может быть причинен субъектам персональных данных в случаях нарушения требований закона «О персональных данных», соотношения указанного вреда и принимаемых оператором мер;
− осуществляет ознакомление работников Компании, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о ПДн, требований к защите ПДн, локальными актами Компании и (или) обучения указанных работников.
1.5. Компания обеспечивает неограниченный доступ к документу, определяющему политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн.
1.6. По запросу уполномоченного органа по защите прав субъекта ПДн Компания предоставляет документы, локальные акты и иным образом подтверждает принятие мер, предусмотренных п.1.4.
1.7. Действие настоящей Политики распространяется на любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
1.8. Настоящая Политика подлежит пересмотру и, при необходимости, актуализации в случае внесения существенных изменений в законодательство Российской Федерации о персональных данных.

2. Основные понятия.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном в соответствии с требованиями Федерального закона №152-ФЗ от 27.07.2006 «О персональных данных» (с дополнениями и изменениями) (далее – Федеральный закон «О персональных данных» или «Федеральный закон»). Оператор - ООО «Джей Эс Эй Групп»; Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными,включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники; Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц; Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных; Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку посредством информационных технологий и технических средств; Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Принципы обработки ПДн.
Обработка ПДн в Компании осуществляется на основе следующих принципов:
- обработка ПДн осуществляется на законной и справедливой основе;
- обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
- обработка ПДн, несовместимая с целями сбора ПДн, не допускается;
- не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
- содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не являются избыточными по отношению к заявленным целям обработки;
- при обработке ПДн обеспечивается точность ПДн и их достаточность, в случаях необходимости и актуальность ПДн по отношению к заявленным целям их обработки;
- принимаются необходимые меры по удалению или уточнению неполных, или неточных ПДн;
- хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
- обрабатываемые ПДн подлежат уничтожению или обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4. Условия обработки ПДн.
4.1. Обработка ПДн в Компании осуществляется с соблюдением принципов и правил, установленных ФЗ «О персональных данных», и допускается в следующих случаях:
- обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
- обработка ПДн, разрешенных субъектом ПДн для распространения, осуществляется с согласия субъекта ПДн, оформленного в письменном виде, отдельно от иных согласий субъекта ПДн на обработку его ПДн;
- обработка ПДн необходима для достижения целей, предусмотренных законодательством Российской Федерации, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
- обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
- обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
- обработка ПДн необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
- обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн. Исключение составляет обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи;
4.2. Компания может включать ПДн работников в общедоступные источники ПДн, при этом Компания берет письменное согласие работника на обработку его ПДн. Сведения о субъекте ПДн исключаются из общедоступных источников по требованию субъекта ПДн.
4.3. Компания может осуществлять обработку данных о состоянии здоровья работника в следующих случаях:
- в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
- для защиты жизни, здоровья или иных жизненно важных интересов работника либо для защиты жизни, здоровья или иных жизненно важных интересов других лиц, если получение согласия субъекта ПДн невозможно;
- для установления или осуществления прав работника или третьих лиц, а равно и в связи с осуществлением правосудия;
- в соответствии с законодательством об обязательных видах страхования, а также со страховым законодательством.
4.4. Биометрические ПДн (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн) в Компании не обрабатываются.
4.5. Компания осуществляет трансграничную передачу ПДн в соответствии со ст. 12 ФЗ «О персональных данных». Компания не осуществляет трансграничную передачу персональных данных на территорию иностранных государств, которые не обеспечивают адекватную защиту прав субъектов персональных данных. Компания может осуществлять трансграничную передачу персональных данных только на территорию государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также территорию тех государств, которые указаны в Приказе Роскомнадзора от 15.03.2013 г. № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных». Компания до осуществления деятельности по трансграничной передаче персональных данных уведомляет Роскомнадзор о своем намерении осуществлять трансграничную передачу персональных данных отдельным уведомлением.
4.6. Принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, не осуществляется.
4.7. При необходимости получения письменного согласия субъекта на обработку его ПДн данное согласие субъекта может быть дано как субъектом ПДн, так и его представителем в форме, предусмотренной ФЗ «О персональных данных».
4.8. При поручении обработки ПДн другому лицу Компания заключает договор (далее – «поручение оператора») с этим лицом и получает согласие субъекта ПДн, если иное не предусмотрено Федеральным законом. При этом Компания в поручении оператора обязует лицо, осуществляющее обработку ПДн по поручению Компании, соблюдать принципы и правила обработки ПДн, предусмотренные ФЗ «О персональных данных». Компания указывает в поручении оператора перечень персональных данных, перечень действий, осуществляемых с персональными данными лицом, являющимся стороной договора об обработке персональных данных, заключенном с Компанией, цели обработки, а также все обязанности и запреты, предусмотренные ФЗ «О персональных данных».
4.9. В случаях, когда Компания поручает обработку ПДн работников другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Компания. Лицо, осуществляющее обработку ПДн по поручению Компании, несет ответственность перед Компанией.
4.10. Компания и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено Федеральным законом. Компания обязана не раскрывать персональные данные неограниченному кругу лиц, если такое раскрытие не предусмотрено федеральными законами и/или иными нормативными правовыми актами, а также если отдельное согласие субъекта ПДн на обработку его персональных данных, разрешенных субъектом ПДн для распространения, в письменном виде не получено.

5. Обязанности Компании.
В соответствии с требованиями ФЗ «О персональных данных» Компания обязана:
5.1. Предоставлять субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставить отказ в течение десяти дней с даты получения запроса субъекта ПДн или его представителя.
5.2. По требованию субъекта ПДн уточнять, блокировать или удалять обрабатываемые ПДн, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки в срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих эти факты.
5.3. Вести Журнал учета обращений субъектов ПДн, в котором должны фиксироваться запросы субъектов ПДн на получение ПДн, а также информация о предоставленных ПДн по этим запросам.
5.4. Уведомлять субъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от субъекта ПДн. Исключение составляют следующие случаи:
- субъект ПДн уведомлен в порядке, указанном в законодательстве РФ, об осуществлении обработки Компанией его ПДн;
- ПДн получены Компанией в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн или на основании Федерального закона;
- ПДн получены из общедоступного источника;
- Компания осуществляет обработку ПДн для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта ПДн;
- предоставление субъекту ПДн сведений, содержащихся в Уведомлении об обработке ПДн, нарушает права и законные интересы третьих лиц.
5.5. В случае достижения цели обработки ПДн прекратить обработку ПДн и уничтожить соответствующие ПДн в срок, не превышающий тридцати дней от даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Компанией и субъектом ПДн либо если Компания не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных ФЗ «О персональных данных» или другими федеральными законами.
5.6. В случае отзыва субъектом ПДн согласия на обработку своих ПДн прекратить обработку ПДн и уничтожить ПДн в срок, не превышающий тридцати дней от даты поступления указанного отзыва, если иное не предусмотрено соглашением между Компанией и субъектом ПДн. Об уничтожении ПДн Компания обязана уведомить субъекта ПДн незамедлительно после уничтожения ПДн такого субъекта ПДн.
5.7. В случае поступления требования субъекта ПДн о прекращении обработки ПДн, полученных в целях продвижения товаров, работ, услуг на рынке, немедленно прекратить обработку ПДн.
5.8. В случае поступления требования о прекращении обработки ПДн (всего объема или частично), разрешенных субъектом ПДн для распространения, прекратить обработку ПДн (в части, указанной в требовании) в момент поступления такого требования.

6. Меры по обеспечению безопасности ПДн при их обработке.
6.1. При обработке ПДн Компания применяет необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
6.2. Обеспечение безопасности ПДн достигается следующими мерами: - определение угроз безопасности ПДн при их обработке в информационных системах персональных данных (далее - ИСПДн); - применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн; - оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн; - учет машинных носителей ПДн; - обнаружение фактов несанкционированного доступа к ПДн и принятие мер; - восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; - установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн; - контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.

7. Права субъекта ПДн.
7.1. Субъект ПДн имеет право получить сведения, касающиеся обработки ПДн Компанией, а именно: - подтверждение факта обработки ПДн Компанией; - правовые основания и цели обработки ПДн Компанией; - применяемые Компанией способы обработки ПДн; - наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании Федерального закона; - обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом; - сроки обработки ПДн Компанией, в том числе сроки их хранения;
- порядок осуществления субъектом ПДн прав, предусмотренных ФЗ «О персональных данных»;
- информацию об осуществленной или предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Компании, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами.
7.2. Субъект ПДн имеет право потребовать от Компании уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
7.3. Субъект ПДн имеет право отозвать согласие на обработку ПДн в предусмотренных законом случаях.

8. Порядок осуществления прав субъекта ПДн.
8.1. Обращение (запрос) субъекта ПДн к оператору в целях реализации его прав, установленных ФЗ «О персональных данных», осуществляется в письменном виде по установленной форме при личном визите в Компанию субъекта ПДн или его представителя.
8.2. Форма запроса выдается ответственным работником Компании, и заполняется субъектом ПДн или его представителем с проставлением собственноручной подписи в присутствии указанного работника.
8.3. Работник, назначенный ответственным за прием обращений субъектов ПДн, получив запрос по установленной форме, сверяет указанные в нем сведения об основном документе, удостоверяющем личность субъекта ПДн, основания, по которым лицо выступает в качестве представителя субъекта ПДн, и представленные при обращении оригиналы документов.
8.4. Ответ на запрос отправляется субъекту ПДн в письменном виде по почте на адрес, указанный в обращении.
8.5. Срок формирования ответа и передачи в почтовое отделение для отправки не может превышать десяти дней с даты получения оператором запроса субъекта ПДн.
8.6. Срок внесения необходимых изменений в ПДн, являющихся неполными, неточными или неактуальными, не может превышать семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными.
8.7. Срок уничтожения ПДн, являющихся незаконно полученными или не являющихся необходимыми для заявленной цели обработки, не может превышать семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки.

9. Ограничения прав субъектов ПДн.
9.1. Право субъекта ПДн на доступ к своим ПДн ограничивается в случае, если предоставление ПДн нарушает права и законные интересы третьих лиц.
9.2. В случае если сведения, касающиеся обработки ПДн, а также обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе направить повторный запрос в целях получения сведений, касающихся обработки ПДн, и ознакомления с такими ПДн не ранее чем через тридцать дней после направления первоначального запроса, если более короткий срок не установлен Федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.
9.3. Субъект ПДн вправе направить Компании повторный запрос в целях получения сведений, касающихся обработки ПДн, а также в целях ознакомления с обрабатываемыми ПДн до истечения тридцатидневного срока в случае, если такие сведения и (или) обрабатываемые ПДн небыли предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального запроса. Повторный запрос должен содержать обоснование направления повторного запроса.
9.4. Компания вправе отказать субъекту ПДн в выполнении повторного запроса, не соответствующего условиям, предусмотренным пп. 9.2 и 9.3. настоящей Политики, соответствующим образом мотивировав такой отказ.

10. Ответственность за нарушение норм, регулирующих обработку ПДн.
10.1. Работники Компании, имеющие доступ к персональным данным субъектов ПДн, несут ответственность за сохранность и конфиденциальность ПДн.
10.2. Лица, виновные в нарушении положений законодательства Российской Федерации в области обработки персональных данных, несут дисциплинарную, гражданско-правовую, административную и уголовную ответственность в порядке, предусмотренном действующим законодательством Российской Федерации.