УТВЕРЖДЕНА
приказом генерального директора ООО «БитТех»
№ РП 2605262 от 26.05.2026

ПОЛИТИКА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
редакция 2

ОПРЕДЕЛЕНИЯ ТЕРМИНОВ, СОКРАЩЕНИЙ И РОЛЕЙ

Наименование термина Определение термина (расшифровка сокращения)
Персональные данные (ПДн) Информация, относящаяся к прямо или косвенно определённому физическому лицу;
Персональные данные, разрешенные субъектом персональных данных для распространения Персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
Биометрические персональные данные Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;
Обработка персональных данных Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Субъект персональных данных Физическое лицо, к которому относятся ПДн:
  • Сотрудники и соискатели (кандидаты) на вакансии Оператора;
  • Клиенты и пользователи сайта, включая посетителей сайта Компании, заполнивших формы обратной связи, регистрации, анкетирования и иные контактные формы;
  • Участники мероприятий, проводимых или организуемых Компании (в том числе семинаров, конференций и проч.);
  • Подписчики информационных и рекламных рассылок Компании (подписка осуществляется через сайт или иные каналы коммуникации);
  • Контрагенты и партнеры – физические лица, включая индивидуальных предпринимателей и самозанятых, взаимодействующие с Оператором по договорам поставки, услуг и т.п.;
  • Представители юридических лиц – партнеров и заказчиков, с которыми Компании вступает в деловые отношения.
Оператор (Компания) Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; Компания, самостоятельно или совместно с другими лицами, организующая обработку ПДн;
Автоматизированная обработка персональных данных Обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных Действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных Временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных);
Уничтожение персональных данных Действия, в результате которых становится невозможным восстановление содержания персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных (ИСПДн) Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Трансграничная передача персональных данных Передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

  1. ОБЩИЕ ПОЛОЖЕНИЯ

    1. Целью деятельности Компании в соответствии с настоящей Политикой является обеспечение защиты прав и свобод субъектов ПДн при обработке их ПДн, в том числе, защита прав на неприкосновенность частной жизни, на личную и семейную тайну.
    2. Настоящая Политика разработана в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ), а также иными подзаконными нормативно-правовыми актами в сфере ПДн.
    3. Положения Политики действуют в отношении всех ПДн, обрабатываемых Оператором, и являются основой для организации работы по обработке ПДн в Компании.
    4. Порядок обработки ПДн в Компании регулируется настоящей Политикой в соответствии с требованиями действующего законодательства Российской Федерации в области ПДн и отраслевого законодательства, если в нем установлен порядок обработки ПДн.
    5. В соответствии с пунктом 2 части 2 статьи 1 Закона № 152-ФЗ обращение с документами, переданными на хранение в соответствии с законодательством об архивном деле в Российской Федерации, не регулируется настоящей Политикой.

  2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

    1. Обработка ПДн в Компании осуществляется на основе следующих принципов:
      • обработка ПДн осуществляется на законной и справедливой основе;
      • обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн;
      • не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
      • обработке подлежат только ПДн, которые отвечают целям их обработки;
      • содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки;
      • при обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Компания принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
      • хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
      • обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

  3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

    1. Обработка персональных данных третьих лиц ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
    2. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
      • Конституция Российской Федерации;
      • Гражданский кодекс Российской Федерации;
      • Трудовой кодекс Российской Федерации;
      • Налоговый кодекс Российской Федерации;
      • Федеральный закон от 15.12.2001 N 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
      • иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора;
      • устав Оператора;
      • договоры, заключаемые между Оператором и третьими лицами;
      • согласие субъектов персональных данных на обработку их персональных данных (за исключением установленных законодательно случаев, когда получение такого согласия не требуется);
      • локальные акты Оператора.
    3. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

  4. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ЦЕЛИ ОБРАБОТКИ

    1. Категории субъектов персональных данных (третьих лиц), чьи данные обрабатываются Оператором:
      • сотрудники, практиканты, стажёры и соискатели (кандидаты) на вакансии Оператора, работники организаций, входящих в группу компаний, практиканты, подрядчики по договорам ГПХ;
      • пользователи сайта;
      • участники мероприятий, организованных оператором;
      • подписчики информационных и рекламных рассылок;
      • контрагенты и партнёры – физические лица, в том числе потенциальные клиенты;
      • представители или работники контрагентов оператора (юридических лиц).
    2. Сотрудники, стажёры и соискатели (кандидаты) на вакансии Оператора, работники организаций, входящих в группу компаний, практиканты, подрядчики по договорам ГПХ. Оператор обрабатывает ПД действующих сотрудников и лиц, претендующих на трудоустройство, для следующих целей:
      • рассмотрение кандидатур при подборе персонала (включая проверку рекомендаций, проведение собеседований);
      • кадровое администрирование и ведение кадрового резерва;
      • исполнение трудовых и иных внутренних обязательств (оформление и ведение трудовых договоров и дополнительных соглашений к ним; начисление и выплата заработной платы, иных вознаграждений и компенсаций; бухгалтерский учет);
      • обеспечение пенсионного, налогового, социального и медицинского страхования;
      • предоставление работнику дополнительных гарантий, льгот, компенсаций и иных привилегий;
      • организация обучения, аттестации и повышения квалификации;
      • обеспечение трудовой дисциплины и внутреннего контроля;
      • охрана жизни, здоровья и безопасности на рабочем месте;
      • информационно-технологическое обеспечение деятельности компании (включая создание и ведение справочников контактов сотрудников и контрагентов, организацию и сопровождение корпоративных аккаунтов электронной почты, использование и администрирование календарей и других корпоративных информационных систем, а также иные действия, необходимые для функционирования IT-сервисов компании)
      • корпоративное взаимодействие персонала внутри группы компаний;
      • обеспечение исполнения требований трудового налогового, пенсионного и иного законодательства РФ (предоставление отчетности в государственные органы, подтверждение квалификации и допусков).

      Правовые основания: Обработка ПД осуществляется на основании трудового договора или соглашения и федерального трудового законодательства, а также на основании согласия соискателя при сборе резюме и личных данных для оценки его кандидатуры. Если соискатель отзовет согласие до заключения договора, данные удаляются, если иное не требуется законом.

      Перечень данных: ФИО, изображения субъекта (фотография), контактные данные (телефон, e-mail), дата и место рождения, паспортные сведения, ИНН, СНИЛС, образование, профессиональный опыт, сведения об инвалидности (при наличии), сведения о семейном положении (если требуется по закону), иные сведения, необходимые для оформления кадровых документов. Собираются также реквизиты банковского счета и ИНН для выплаты заработной платы, страховые данные для пенсионного учета, при прохождении отбора и при условии заключения трудового договора.

      Использование изображений сотрудников: Компания обрабатывает фотографические изображения (фотографии) сотрудников в целях обеспечения внутренней коммуникации и идентификации работников на корпоративном портале. Фотографии размещаются исключительно на внутреннем портале, доступ к которому имеют только сотрудники Компании, и не распространяются за пределы организации. Обработка таких изображений осуществляется Оператором исключительно при наличии добровольного, конкретного, информированного и сознательного письменного согласия сотрудника, оформленного в порядке, предусмотренном статьёй 9 Закона № 152-ФЗ. Сотрудник имеет безусловное право отказаться от предоставления своих биометрических персональных данных (в том числе от передачи фотографического изображения) или отозвать ранее данное согласие на их обработку. В соответствии с частью 3 статьи 11 Федерального закона № 152-ФЗ, отказ сотрудника от предоставления биометрических персональных данных и (или) дачи согласия на их обработку не влечёт за собой применения к нему любых мер дисциплинарного или иного административного воздействия, включая отказ в приёме на работу, в допуске к рабочему месту, снижение в должности или увольнение. Оператор не вправе отказывать сотруднику в реализации его трудовых прав в связи с реализацией им данного права. В случае, если обработка биометрических данных сотрудника осуществляется в иных целях, не связанных с установлением его личности (например, общая видеосъёмка производственных процессов в целях контроля безопасности), такая обработка производится в соответствии с уведомлением, размещённым на территории организации, с учётом требований статьи 6 Закона № 152-ФЗ и разъяснений государственных органов.

    3. Пользователи сайта: физические лица – клиенты Компании и посетители сайта, обратившиеся через формы обратной связи, регистрации или заявки. Цели обработки:

      • тестирование продуктов, услуг и сервисов Компании;
      • оказание услуг и выполнение договорных обязательств (заключение и исполнение сделок);
      • коммуникация и поддержка клиентов (ответы на запросы, обработка обращений, сервисное сопровождение);
      • организация обратной связи через сайт (обработка запросов, регистрация на портал);
      • совершение транзакций и выставление счетов (расчет и выписка счетов, учет);
      • совершенствование качества услуг и сайта (анализ отзывов, техподдержка, улучшение веб-ресурса на основе отзывов пользователей).

      Правовые основания: исполнение договора, а также выполнение требований законодательства. При подписке на информационные рассылки и маркетинговые коммуникации данные обрабатываются на основании согласия субъекта.

      Перечень данных: ФИО, контактные данные (телефон, e-mail, почтовый адрес), данные для доставки (адрес, индекс), платежные реквизиты (при расчетах), история заказов. Если пользователь самостоятельно заполняет дополнительные анкеты (опросы, формы оценки), обрабатываются предоставленные им сведения по его выбору.

    4. Участники мероприятий. Физические лица, участвующие в семинарах, презентациях, выставках и других мероприятиях Компании. Цели обработки:

      • регистрация и организация участия (подтверждение участия, подготовка бейджей и пропусков);
      • информирование об изменениях (рассылка приглашений, уведомлений о программе события);
      • проведение обратной связи после мероприятия (анкетирование, оценки);
      • фото- и видеосъемка во время мероприятия, если такие материалы публикуются (обработка изображений попадающих в кадр лиц).

      Правовые основания: выполнение обязательств об участии на мероприятиях и приравненных к ним договоры, а также согласие на обработку персональных данных. Если съемка и публикация фото/видео осуществляется, оператор заранее информирует об этом и получает согласие.

      Перечень данных: ФИО, контактные данные (телефон, e-mail), данные паспорта (если требуется для пропуска на объект), иные сведения, заявленные участником.

    5. Подписчики информационных и рекламных рассылок. Физические лица, давшие согласие на получение рассылок с информацией, новостями и коммерческими предложениями от Компании. Цель обработки: отправка информационных и рекламных материалов.

      Правовые основания: добровольное согласие субъекта на получение рассылки. Каждая рассылка содержит способ отписаться, и согласие считается отозванным с момента получения соответствующего уведомления.

      Перечень данных: адрес электронной почты, имя (при наличии), предпочтения по темам рассылки. В ходе рассылки могут собираться и обрабатываться статистические данные (открытие писем, переходы по ссылкам) без указания персональных данных, для оценки эффективности рассылок.

    6. Контрагенты и партнеры – физические лица. Это подрядчики, поставщики, консультанты-физлица, а также представители малого бизнеса, сотрудничающие с Компанией. Цели обработки:

      • исполнение договорных обязательств (заключение и выполнение договоров подряда, оказания услуг, поставки);
      • реализация процедур корпоративного взаимодействия, в том числе в отношении дочерних и зависимых обществ;
      • финансово-бухгалтерский учет (выставление счетов, расчет налогов, ведение платежей);
      • коммуникация и документооборот (переписка, деловые встречи, проставление реквизитов).

      Правовые основания: исполнение договора и обязанностей по налоговому, гражданскому законодательству, при необходимости получение письменного согласия контрагента.

      Перечень данных: ФИО, контактная информация (телефон, почта, адрес), реквизиты ИП (ИНН, ОГРНИП), паспортные данные (если указывается в договоре или необходимо для идентификации), банковские реквизиты для расчетов, данные лицензий или сертификатов (если необходимы для исполнения договоров).

    7. Представители юридических лиц – партнеров и заказчиков. Физические лица, действующие как уполномоченные контакты и подписанты от лица корпоративных клиентов и подрядчиков. Цели обработки:

      • деловые коммуникации (переписка, проведение встреч, электронный документооборот);
      • оформление и исполнение договоров (включение контактные данные в документах, акты);
      • оказание сервисной и технической поддержки продуктов и услуг Компании;
      • развитие продуктов, услуг и сервисов Компании;
      • проведение рекламных, маркетинговых активностей и акций;
      • осуществление досудебной и судебной работы;
      • реализация процедур корпоративного взаимодействия, в том числе в отношении дочерних и зависимых обществ;
      • согласование технических вопросов (обмен профессиональной информацией).

      Правовые основания: исполнение договоров и представление законных интересов Компании.

      Перечень данных: ФИО, должность, контактные данные (рабочий телефон, корпоративная и/или личная электронная почта), наименование организации, сведения, необходимые для заключения и ведения деловых отношений (например, ИНН/КПП организации для выставления счетов, данные доверенности на представителя).

  5. ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

    1. Обработка ПДн Компанией осуществляется на основе следующих правовых оснований, предусмотренных Законодательством РФ:

      • Согласие субъекта: данные личного характера, не затрагивающие особо охраняемых категорий, собираются и обрабатываются при явном согласии субъекта. Оператор обеспечивает документальное фиксацию факта получения согласия (например, проставление отметки в веб-форме или подписание бланка).
      • Договорные отношения: обработка, необходимая для исполнения договора, стороной которого является субъект ПД. К таким договорам относятся трудовые договоры, договоры гражданско-правового характера и иные соглашения.
      • Требования закона: для исполнения функций, возложенных федеральными законами.
      • Защита прав и интересов: если обработка необходима для защиты законных интересов субъекта или Компании.

      В соответствии с Федеральным законом от 20.05.2025 № 156-ФЗ, согласие на обработку персональных данных должно быть отдельным от иных информации и (или) документов. Запрещается включать согласие на обработку персональных данных в тексты договоров, публичных оферт, пользовательских соглашений или иных документов в качестве одного из пунктов.

      Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных.

  6. УСЛОВИЯ ОБРАБОТКИ И КАНАЛЫ СБОРА ДАННЫХ

    1. Обработка ПД осуществляется с использованием средств автоматизации (ИС, базы данных, CRM и т.д.) и без использования таких средств (бумажные носители, распечатки). Оператор собирает и обрабатывает данные следующими способами:

      • Сайт компании: через формы регистрации, обратной связи и подписки на сайте Компании;
      • Электронная почта: обмен сообщениями, запросами и заполненными формами, полученными через корпоративный e-mail Оператора;
      • Телефонные каналы: запросы по телефону, если они отвечают целям обработки персональных данных;
      • Личные встречи и мероприятия: заполнение анкет, согласий, регистрационных форм на бумажных носителях во время интервью, собеседований или мероприятий;
      • Почтовая связь и факс: получение писем и документов с персональными данными по почте или факсу.

      При сборе ПДн через сайт Оператор информирует субъекта о целях и условиях обработки и получает согласие, когда это требуется. Файлы, передаваемые по электронной почте, защищаются техническими средствами (шифрованием электронной почты) при необходимости. Бумажные носители хранятся в запираемых шкафах, к ним ограничен доступ.

    2. Cookies и веб-аналитика.

      На веб-сайте Компании не используются файлы cookie и сервисы веб-аналитики.

  7. СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

    1. Обработка ПДн в Компании может осуществляться как с использованием, так и без использования средств автоматизации, в том числе путем осуществления следующих действий – сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

    2. Автоматизированная обработка ПДн осуществляется в ИСПДн в строгом соответствии с настоящей Политикой.

      Автоматизированная обработка ПДн производится с помощью средств вычислительной техники, как установленных локально, так и объединенных в ИСПДн.

      Доступ к ИСПДн предоставляется уполномоченным работникам только для исполнения ими своих функций и должностных обязанностей.

      При автоматизированной обработке, ПДн содержатся на машинных носителях ПДн. Фиксация ПДн на машинном носителе производится с использованием средств вычислительной техники (копирование ПДн на любой съемный или несъемный машинный носитель, ввод ПДн в базу данных и т.п.).

    3. Неавтоматизированная обработка ПДн осуществляется Компании таким образом, чтобы ПДн обособлялись от иной информации, в частности путем фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков) и иным способом.

      При неавтоматизированной обработке ПДн, предполагающей использование типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее – типовая форма), Компания обеспечивает выполнение следующих условий:

      1. типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать:

        • сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации;
        • реквизиты Компании (наименование и адрес);
        • фамилию, имя, отчество (при наличии) и адрес субъекта ПДн;
        • источник получения ПДн, сроки обработки ПДн;
        • перечень действий с ПДн, которые будут совершаться в процессе их обработки;
        • общее описание используемых Оператором способов обработки ПДн;
      2. типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку ПДн;
      3. типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн;
      4. типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.
    4. Компания обеспечивает информирование лиц, осуществляющих обработку ПДн без использования средств автоматизации (работники Компании другие лица, осуществляющие обработку ПДн по поручению Компании) о факте обработки ими ПДн, обработка которых осуществляется Компанией без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными нормативными документами Компании.
    5. При сохранении ПДн на материальных носителях (в т.ч. машинных носителях) не допускается сохранение на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы. При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн, должны быть приняты меры по обеспечению раздельной обработки ПДн. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн следует использоваться отдельный материальный носитель.
    6. Компания вправе принимать решения, порождающие юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, на основании исключительно автоматизированной обработки его ПДн, только при наличии согласия в письменной форме субъекта ПДн или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта ПДн.
    7. Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путём осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта ПДн. Компания обязана немедленно прекратить по требованию субъекта ПДн обработку его ПДн в вышеуказанных целях.

  8. ПЕРЕДАЧА И ПОРУЧЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

    1. Обработка ПДн в Компании может осуществляться:

      • работниками Компании;
      • другими лицами, осуществляющими обработку ПДн по поручению Компании.
    2. Обработка ПДн другими лицами может осуществляться на основании соответствующего договора с Компанией, в котором содержится поручение на обработку ПДн с согласия субъекта ПДн, если иное не предусмотрено Законом № 152-ФЗ. В поручении должны быть определены перечень ПДн, перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн, обязанность лица уведомлять Оператора о случаях неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных в срок не позднее 24 часов с момента обнаружения такого инцидента; требования предусмотренные частью 5 статьи 18 и статьей 18.1 Закона № 152-ФЗ, обязанность по запросу Оператора в течение срока действия поручения, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора требований, обязанность обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 Закона № 152-ФЗ, в том числе требование об уведомлении Оператора о случаях, предусмотренных частью 3.1 статьи 21 Закона № 152-ФЗ.

    3. При передаче ПДн третьей стороне должны выполняться следующие условия:

      • передача (предоставление доступа) ПДн третьей стороне осуществляется на основании договора, существенным условием которого является обеспечение третьей стороной конфиденциальности ПДн и безопасности ПДн при их обработке;
      • передача (предоставление доступа) ПДн третьей стороне осуществляется на основании действующего законодательства РФ;
      • наличие согласия субъекта ПДн на передачу его ПДн третьей стороне, за исключением случаев, предусмотренных законодательством.
    4. Компания в процессе своей деятельности вправе осуществлять трансграничную передачу ПДн. При осуществлении трансграничной передачи ПДн Компани обязуется соблюдать требования статьи 12 Закона № 152-ФЗ.
    5. В целях информационного обеспечения в Компании могут создаваться общедоступные источники данных (в том числе специализированные справочники, телефонные, адресные книги и др.), содержащие ПДн, к которым с письменного согласия субъекта ПДн может предоставляться доступ неограниченному кругу лиц. Сведения о субъекте ПДн могут быть в любое время исключены Компани из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов.

  9. ОСОБЕННОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, РАЗРЕШЕННЫХ СУБЪЕКТОМ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЛЯ РАСПРОСТРАНЕНИЯ

    1. Компания может осуществлять обработку ПДн, разрешённых субъектом ПДн для распространения.
    2. Компания, в соответствии с требованиями статьи 10.1 Закона № 152-ФЗ, осуществляет обработку ПДн, разрешенных субъектом ПДн для распространения только при наличии соответствующего согласия.
    3. Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн, при этом форма и содержание такого согласия должны соответствовать требованиям, которые установлены уполномоченным органом по защите прав субъектов ПДн.
    4. Молчание или бездействие субъекта ПДн ни при каких обстоятельствах не может считаться согласием на обработку ПДн, разрешенных субъектом ПДн для распространения.
    5. В согласии на обработку ПДн, разрешенных субъектом ПДн для распространения, субъект ПДн вправе установить запреты на передачу (кроме предоставления доступа) этих ПДн оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих ПДн неограниченным кругом лиц.
    6. Компания обеспечивает опубликование информации об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц ПДн, разрешенных субъектом ПДн для распространения.
    7. Компания обязуется прекратить передачу (распространение, предоставление, доступ) ПДн, разрешенных субъектом ПДн для распространения, в случае поступления от субъекта ПДн соответствующего требования. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПДн, а также перечень ПДн, обработка которых подлежит прекращению.

  10. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

    1. Субъект ПДн имеет право:

      • получать информацию, касающуюся обработки его ПДн, в порядке, форме и в сроки, установленные законодательством Российской Федерации в сфере ПДн;
      • требовать уточнения своих ПДн, их блокирования или уничтожения, в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении субъектом ПДн согласия на обработку ПДн;
      • требовать прекращения обработки своих ПДн;
      • принимать предусмотренные законом меры по защите своих прав;
      • отозвать свое согласие на обработку ПДн.

    2. Для реализации своего права на получение информации, касающейся обработки его ПДн, субъект ПДн, или его представитель, должен обратиться в Компанию по реквизитам, указанным в настоящей Политике, с письменным заявлением, которое должно содержать:

      • номер основного документа, удостоверяющего личность субъекта ПДн или его представителя;
      • сведения о дате выдачи указанного документа и выдавшем его органе;
      • сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором;
      • подпись субъекта ПДн или его представителя.

      В рамках действующего законодательства РФ в сфере ПДн, Компания обязуется предоставить субъекту ПДн по его запросу, следующую информацию:

      • подтверждение факта обработки ПДн Компанией;
      • правовые основания и цели обработки ПДн;
      • цели и применяемые Компанией способы обработки ПДн;
      • наименование и место нахождения Компании;
      • сведения о лицах (за исключением работников), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Компанией или на основании федерального закона;
      • обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
      • сроки обработки ПДн, в том числе сроки их хранения;
      • порядок осуществления субъектом ПДн прав, предусмотренных Законом № 152-ФЗ;
      • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
      • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Компании, если обработка поручена или будет поручена такому лицу;
      • информацию о способах исполнения Компанией обязанностей, установленных статьей 18.1 Закона № 152-ФЗ;
      • иные сведения, предусмотренные Законом № 152-ФЗ или другими федеральными законами.
    3. В рамках реализации права на отзыв своего согласия на обработку ПДн, субъект ПДн вправе обратиться в адрес Компании с заявлением об отзыве ранее данного согласия на обработку ПДн. Также субъект ПДн вправе обратиться к Компанию с требованием о прекращении обработки ПДн. Компания оставляет за собой право продолжить обработку ПДн без согласия ПДн, если такая обработка будет осуществляться при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, пунктах 2-10 части 2 статьи 10 и части 2 статьи 11 Закона № 152-ФЗ.
    4. Субъект ПДн, в целях уточнения и актуализации своих ПДн, обязан своевременно представлять Компании информацию об изменении своих ПДн, при необходимости продолжения их обработки.

  11. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

    1. Порядок хранения ПДн, обрабатываемых в Компании, определяется нормативными документами Компании в соответствии с положениями Закона № 152-ФЗ.
    2. Сроки обработки (хранения) ПДн определяются в соответствии со сроком действия договора с субъектом ПДн; сроком, установленным в соответствующем согласии субъекта ПДн, приказом Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», сроками исковой давности, а также иными сроками, установленными законодательством РФ и нормативными документами Компании.
    3. ПДн, срок обработки которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом или нормативными документами Компании.

  12. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ. ПОРЯДОК РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

    1. В случаях, прямо предусмотренных статьей 14 Закона № 152-ФЗ, Компания сообщает субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставляет возможность ознакомления с этими ПДн при обращении субъекта ПДн или его представителя либо в течение 10 рабочих дней с даты получения запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней при условии направления Компанией в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
    2. В рамках реализации требований Закона № 152-ФЗ Компания на безвозмездной основе представляет субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту ПДн. В срок, не превышающий 7 рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, Компания вносит в них необходимые изменения. В срок, не превышающий 7 рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Компания уничтожает такие ПДн. При этом Компания обязуется уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.
    3. В случае выявления неправомерной обработки ПДн при обращении/запросе субъекта ПДн, его представителя либо уполномоченного органа по защите прав субъектов ПДн Оператор обязуется с момента обращения/запроса на период проверки осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора). В случае выявления неточных ПДн при обращении/запросе субъекта ПДн, его представителя либо уполномоченного органа по защите прав субъектов ПДн Оператор обязуется осуществить блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения/запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц. В случае подтверждения факта неточности ПДн, Компания на основании сведений, представленных субъектом ПДн, его представителем либо уполномоченным органом по защите прав субъектов ПДн, обязуется уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в течение 7 рабочих дней со дня представления таких сведений и снять блокирование ПДн.
    4. Компания также прекращает обработку ПДн или обеспечивает прекращение обработки ПДн лицом, действующим по его поручению:
      • в случае выявления неправомерной обработки ПДн, осуществляемой Компанией или лицом, действующим по его поручению, в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления;
      • в случае отзыва субъектом ПДн согласия на обработку его ПДн Компанией, при отсутствии иных правовых оснований обработки ПДн;
      • в случае получения требования субъекта ПДн о прекращении обработки его ПДн и при отсутствии иных правовых оснований обработки ПДн, в срок не превышающий 10 (десяти) рабочих дней с даты получения такого требования;
      • в случае достижения цели обработки ПДн, при отсутствии иных правовых оснований обработки ПДн.

    5. Компания обязана уничтожить ПДн или обеспечить их уничтожение, если обработка ПДн осуществляется другим лицом, действующим по поручению Компании:

      • в случае отзыва субъектом ПДн согласия на обработку его ПДн Компанией в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иной срок не установлен договором, иным соглашением, федеральным законодательством и при отсутствии иных правовых оснований обработки ПДн;
      • в случае достижения цели обработки ПДн, в срок, не превышающий 30 (тридцати) дней с даты достижения цели, если иной срок не установлен договором, иным соглашением, федеральным законодательством и при отсутствии иных правовых оснований обработки ПДн;
      • в случае представления субъектом ПДн, его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, в срок, не превышающий 7 (семи) рабочих дней со дня представления таких сведений;
      • в случае, если невозможно обеспечить правомерность обработки ПДн, в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки ПДн.

      В случае отсутствия возможности уничтожения ПДн в течение указанного срока, Компания осуществляет блокирование таких ПДн или обеспечивает их блокирование, если обработка ПДн осуществляется другим лицом, действующим по поручению Компании, и обеспечивает уничтожение ПДн в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами.

  13. КОНФИДЕНЦИАЛЬНОСТЬ И ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

    1. Компания в процессе своей деятельности обеспечивает конфиденциальность обрабатываемых ПДн, в частности обязуется не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено действующим законодательством Российской Федерации.
    2. При обработке ПДн Компания принимает правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
    3. Обеспечение безопасности ПДн осуществляется в рамках установления в Компания режима безопасности информации конфиденциального характера.

    4. Обеспечение безопасности ПДн, в частности, достигается:

      • определением угроз безопасности ПДн при их обработке в ИСПДн;
      • применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн;
      • применением прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
      • оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
      • учетом машинных носителей ПДн;
      • обнаружением фактов несанкционированного доступа к ПДн;
      • восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
      • установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
      • контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ПДн в ИСПДн.
    5. Обеспечение безопасности тайны связи и сведений об абонентах при обработке информации в системах и сетях связи осуществляется в соответствии с требованиями законодательства Российской Федерации о связи, а также международного законодательства по межоператорскому взаимодействию.
    6. Обеспечение безопасности ПДн, обрабатываемых в информационных системах при обеспечении оперативно-розыскных мероприятий, осуществляется в соответствии с законодательством РФ об оперативно-розыскной деятельности.
    7. Уровни защищенности ПДн при их обработке в ИСПДн Компании, требования к защите ПДн, обеспечивающих уровни защищенности ПДн, определяются в зависимости от актуальных угроз безопасности ПДн с учетом возможного вреда субъекту ПДн, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн в соответствии с требованиями Постановлений Правительства Российской Федерации, подзаконных нормативных правовых актов ФСТЭК, ФСБ и Минцифры России, а также договорами между Компанией, операторами ПДн и субъектами ПДн.
    8. Обеспечение безопасности ПДн при трансграничной обработке ПДн осуществляется в соответствии с требованиями и рекомендациями международных правовых актов по обеспечению безопасности ПДн, международных стандартов по информационной безопасности и законодательства стран, на территории которых обрабатываются ПДн.
    9. Использование и хранение биометрических ПДн вне ИСПДн осуществляется только с применением материальных носителей информации и технологии хранения, которые обеспечивают защиту биометрических ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления и распространения.
    10. Защита ПДн при неавтоматизированной обработке осуществляется в соответствии с требованиями нормативных правовых актов РФ и нормативными документами Компании по работе с материальными носителями информации.

  14. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

    1. Компания и/или работники Компания, виновные в нарушении требований законодательства РФ в области ПДн, а также положений настоящей Политики, несут предусмотренную законодательством Российской Федерации ответственность.
    2. Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки ПДн, а также требований к защите ПДн, подлежит возмещению в соответствии с законодательством Российской Федерации.

  15. ПОРЯДОК ДЕЙСТВИЙ ПРИ УТЕЧКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

    1. Порядок действий Оператора при выявлении факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных (инцидента безопасности)

      В соответствии с частью 3.1 статьи 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», при выявлении факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлёкшей нарушение прав субъектов персональных данных, Оператор обязан осуществить:

      1. Направление уведомления в Роскомнадзор (первичное):

        В срок не более 24 часов с момента обнаружения инцидента Оператор направляет в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) первичное уведомление, которое должно содержать:

        • описание инцидента (дата, время, обстоятельства);
        • предполагаемые причины инцидента;
        • предполагаемый вред, который мог быть причинён субъектам персональных данных;
        • сведения о лице, ответственном за инцидент (при наличии);
        • перечень принятых мер по устранению последствий инцидента (на момент направления уведомления).

      2. Направление уведомления в Роскомнадзор (итоговое):

        В срок не более 72 часов с момента обнаружения инцидента Оператор направляет в Роскомнадзор итоговое уведомление, которое должно содержать:

        • установленные причины инцидента;
        • результаты внутреннего расследования;
        • полный перечень принятых мер по устранению последствий инцидента и предотвращению подобных инцидентов в будущем;
        • сведения о лицах, виновных в инциденте (при наличии и возможности раскрытия без нарушения закона).

      3. Уведомление субъектов персональных данных (при необходимости):

        В случае, если инцидент создал реальную угрозу правам и законным интересам субъектов персональных данных, Оператор обязан уведомить пострадавших субъектов (или их законных представителей) в порядке и способом, установленными законодательством (как правило, посредством публикации на сайте и рассылки по электронной почте).

      4. Внутреннее расследование:

        Оператор обязан организовать и провести внутреннее расследование инцидента, зафиксировать его результаты в акте служебного расследования, который хранится не менее 3 лет.

    2. Ответственность:

      Неисполнение обязанности по уведомлению Роскомнадзора об инциденте в установленные сроки влечёт административную ответственность по статье 13.11 Кодекса Российской Федерации об административных правонарушениях.

  16. ОБЯЗАННОСТИ ОПЕРАТОРА ПО УВЕДОМЛЕНИЮ РОСКОМНАДЗОРА ОБ ИЗМЕНЕНИИ СВЕДЕНИЙ, СОДЕРЖАЩИХСЯ В УВЕДОМЛЕНИИ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

    1. В соответствии с частью 3 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) об изменении следующих сведений, ранее указанных в уведомлении об обработке персональных данных:

      • изменение наименования или адреса Оператора;
      • изменение целей обработки персональных данных;
      • изменение перечня персональных данных, подлежащих обработке;
      • изменение категорий субъектов персональных данных;
      • изменение перечня действий (операций) с персональными данными;
      • изменение способов обработки персональных данных (например, начало использования трансграничной передачи);
      • изменение правового основания обработки персональных данных;
      • иные изменения, влияющие на содержание сведений, представленных ранее.
    2. Уведомление об изменении сведений направляется в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли соответствующие изменения.
    3. Уведомление направляется в электронной форме через «Личный кабинет» на портале Роскомнадзора (https://pd.rkn.gov.ru) с использованием усиленной квалифицированной электронной подписи, либо на бумажном носителе заказным письмом с уведомлением.
    4. Неисполнение обязанности по своевременному уведомлению Роскомнадзора об изменении сведений влечёт административную ответственность.

  17. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

    1. Политика является общедоступной. Общедоступность Политики обеспечивается путем ее опубликования на Интернет-сайтах Компании.
    2. Политика подлежит пересмотру в соответствии с нормативными документами Компании.
    3. Субъекты ПДн, чьи ПДн обрабатываются Компанией, могут получить разъяснения по вопросам обработки своих ПДн, а также реализовать свои права и законные интересы, направив соответствующий письменный запрос по почтовому адресу Компании, указанному в ЕГРЮЛ, или в электронной форме по адресу: info@bitblaze.tech

    4. Реквизиты Компании:

      ОГРН 1177746396630, ИНН 7731360971

      Юр.адрес: 121205 г. Москва, вн. тер. г. муниципальный округ Можайский, тер. Сколково Инновационного центра, б-р Большой, д. 42, стр. 1, 599, р/м 02, этаж 1

  18. ПРИЛОЖЕНИЯ

    1. Приложение 1: Формы согласий для субъектов ПДн  .PDF