1.ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ

Для целей Политики в отношении обработки персональных данных (далее – Политика) используются следующие понятия, определения и сокращения:
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются для установления личности субъекта персональных данных;
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Законодательство о персональных данных – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», иные нормативно-правовые акты Российской Федерации, определяющие случаи, условия и порядок обработки персональных данных, обеспечения их безопасности и конфиденциальности;
Конфиденциальность персональных данных – обязательное для соблюдения Обществом (его работниками) и иными лицами, получившими доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации;
Материальный носитель персональных данных – материальный объект, используемый для закрепления и хранения на нем персональных данных в электронном или письменном виде (в том числе бумажный носитель, машиночитаемый носитель);
Неавтоматизированная обработка персональных данных – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение (предоставление), уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Общество – ООО «ХАЙТЕСТЕР» – юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Политика – Политика в отношении обработки персональных данных в ООО «ХАЙТЕСТЕР»;
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Разглашение персональных данных – умышленное или непредумышленное (случайное) нарушение конфиденциальности персональных данных лицами, обрабатывающими персональные данные от имени или по поручению Общества (в том числе работниками Общества), либо лицами, получившими несанкционированный доступ к персональным данным;
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Субъект персональных данных – физическое лицо, персональные данные которого обрабатываются Обществом.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Федеральный закон № 152-ФЗ – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
2.ОБЩИЕ ПОЛОЖЕНИЯ
2.1. Политика определяет основные принципы, цели, условия и способы обработки персональных данных Обществом.
2.2. Политика разработана на основе требований законодательства о персональных данных и с учетом требований локальных актов Общества, в том числе регламентирующих вопросы обработки и обеспечения защиты информации и данных.
2.3. Действие Политики распространяется на любые персональные данные, обрабатываемые Обществом, независимо от формы их представления, передачи, получения, хранения. При урегулировании вопросов обработки персональных данных Общество исходит из принципа приоритета законодательства о персональных данных и принципа приоритета Политики в системе локальных актов Общества, регламентирующих вопросы обработки персональных данных. В случае противоречия Политики или иных локальных актов Общества, регламентирующих вопросы обработки персональных данных, требованиям законодательства о персональных данных соответствующие положения Политики или иных локальных актов Общества, регламентирующих вопросы обработки персональных данных, не применяются Обществом до приведения их в соответствие с требованиями законодательства о персональных данных, при этом при обработке персональных данных Общество непосредственно руководствуется требованиями законодательства о персональных данных. По всем вопросам, прямо не урегулированным Политикой и иными локальными актами Общества, регламентирующими вопросы обработки персональных данных, Общество руководствуется законодательством о персональных данных, разъяснениями уполномоченных органов, а также лучшими российскими и международными практиками в сфере обработки и защиты персональных данных.
2.4. Политика является внутренним нормативным документом Общества с общедоступным статусом, доступна для ознакомления любому заинтересованному лицу путем направления официального письменного запроса в Общество.
Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом;
- подпись субъекта персональных данных или его представителя.
3.ЦЕЛИ, КАТЕГОРИИ И ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. В Обществе могут обрабатываться персональные данные исключительно в целях, для которых они были собраны или получены. Цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований указаны в Приложении 1 к настоящей Политике.
4. УСЛОВИЯ И ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обработка персональных данных осуществляется Обществом в соответствии с требованиями законодательства Российской Федерации.
4.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
4.3. При обработке персональных данных в Обществе строго соблюдаются следующие принципы:
·обработка персональных данных осуществляется на законной и справедливой основе;
·обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
·не допускается обработка персональных данных, не совместимая с целями сбора персональных данных;
·не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
·обработке подлежат только персональные данные, которые отвечают целям их обработки;
·содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки персональных данных, обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
·при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
·Общество принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
·хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом № 152-ФЗ или иными федеральными законами Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
·обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом № 152-ФЗ.
4.4. Действиями, совершаемыми с персональными данными, являются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление и уничтожение.
4.5. Обработка персональных данных осуществляется без использования средств автоматизации (неавтоматизированная обработка).
4.6. Общество в ходе своей деятельности может предоставлять и/или поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом № 152-ФЗ. При этом обязательным условием предоставления и/или поручения обработки персональных данных другому лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.
4.7. Обработка персональных данных осуществляется с фиксацией информации на материальных носителях.
4.7.1. При обработке персональных данных используются как бумажные материальные носители информации, так и технические материальные носители информации (магнитные, электронные и др.). Обработка бумажных материальных носителей информации осуществляется без использования средств автоматизации. Обработка информации на технических материальных носителях может осуществляться с использованием технических средств обработки информации.
4.7.2. При использовании любых материальных носителей информации обеспечивается безопасность зафиксированных на материальных носителях информации персональных данных в порядке, предусмотренном действующим законодательством и/или внутренними нормативными документами Общества.
4.8. Общество в обязательном порядке рассматривает все обращения субъектов персональных данных (их законных представителей), в том числе содержащие требования субъектов персональных данных (их законных представителей).
4.9. Общество принимает необходимые и достаточные меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
4.10. Общество не размещает персональные данные в общедоступных источниках и не принимает решения, порождающие юридические последствия для субъекта персональных данных или иным образом затрагивающие его права или интересы на основании исключительно автоматизированной обработки персональных данных. Общество не осуществляет трансграничную передачу персональных данных.
4.11. При сборе персональных данных Компания обеспечивает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
5. ПРАВА И ОБЯЗАННОСТИ ОБЩЕСТВА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Общество при сборе и дальнейшей обработке персональных данных вправе в соответствии с законодательством о персональных данных:
 - запрашивать у субъекта персональные данные;
 - устанавливать форму, способы и процедуры предоставления согласия на обработку персональных данных, способы и процедуры отзыва согласия обработку персональных данных;
- в соответствии с принципами и условиями обработки персональных данных, предусмотренными в разделе 4 Политики, определять правила (процедуры) обработки персональных данных;
- самостоятельно разрабатывать и утверждать формы документов, необходимые для исполнения Политики;
- в развитие и уточнение положений Политики утверждать локальные акты, регламентирующие отдельные вопросы обработки и защиты персональных данных;
 - поручать обработку персональных данных другому лицу на основании заключаемого или заключенного с этим лицом договора и только при наличии соответствующего согласия субъекта персональных данных, если иное не предусмотрено законодательством о персональных данных;
- требовать от субъекта персональных данных предоставления достоверных персональных данных, в том числе предоставления актуальных персональных данных в случае, если ранее предоставленные персональные данные не являются таковыми, необходимых для исполнения договора, оказания услуг, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных законодательством о персональных данных;
- уточнять персональные данные субъекта персональных данных с помощью сторонних источников, таких как общедоступные источники персональных данных, в том числе социальные сети, личные страницы в сети Интернет, реестры, предусмотренные законодательством, и другие источники, использование которых не нарушает права субъектов персональных данных или допускается законодательством Российской Федерации;
- продолжить обработку персональных данных без согласия субъекта персональных данных в случае отзыва субъектом персональных данных своего согласия на обработку персональных данных при наличии оснований, предусмотренных законодательством Российской Федерации;
- отказать субъекту персональных данных в выполнении его запроса (повторного запроса) на предоставление информации, касающейся обработки его персональных данных, если такой запрос не соответствует требованиям, предусмотренным Федеральным законом № 152-ФЗ;
- осуществлять иные права, предусмотренные законодательством о персональных данных и локальными актами Общества.
5.2. Общество при сборе и дальнейшей обработке персональных данных обязано:
 - получать и обрабатывать персональные данные на законных основаниях и с соблюдением требований и процедур, установленных законодательством о персональных данных;
- в случае получения согласия на обработку персональных данных от представителя субъекта персональных данных проверять полномочия данного представителя на дачу согласия от имени субъекта персональных данных;
 - не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
 - обеспечивать точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки;
- обеспечивать удаление или уточнение неполных или неточных персональных данных;
- обеспечивать уничтожение или обезличивание персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
- в случае запроса субъекта персональных данных, его представителя или уполномоченного органа по защите прав субъектов персональных данных предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия на это иных законных оснований;
 - разъяснять субъекту персональных данных юридические последствия отказа предоставить персональные данные или дать согласие на их обработку, если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными;
- по запросу субъекта персональных данных предоставить ему информацию, касающуюся обработки его персональных данных, которая предусмотрена Федеральным законом № 152-ФЗ, за исключением случаев, установленных законодательством о персональных данных;
- взаимодействовать с субъектом персональных данных и уполномоченным органом по защите прав субъектов персональных данных для обработки запросов и обращений в части получения сведений об обрабатываемых персональных данных, их актуализации, а также обеспечения законности обработки персональных данных в сроки, установленные Федеральным законом № 152-ФЗ;
- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- уведомить уполномоченный орган по защите прав субъектов персональных данных в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных;
- провести внутреннее расследование в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных;
- обеспечивать нахождение баз данных информации, с использованием которых осуществляются обработка персональных данных, на территории Российской Федерации;
- выполнять иные обязанности, предусмотренные законодательством о персональных данных и внутренними нормативными документами Общества.
6. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Субъект персональных данных вправе принимать решение о предоставлении его персональных данных и давать согласие на их обработку свободно, своей волей и в своем интересе.
6.2. Субъект персональных данных имеет право на получение информации, касающейся обработки Обществом его персональных данных.
6.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено Обществом в соответствии с федеральными законами, в том числе если:
 - обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
6.4. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.5. Субъект персональных данных имеет право на отзыв согласия на обработку персональных данных путем подачи (направления) письменного уведомления об отзыве согласия по адресу места нахождения Общества, в случае если иной способ не предусмотрен в предоставленном субъектом персональных данных согласии. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия субъекта персональных данных в случаях, предусмотренных законодательством.
7. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Под защитой персональных данных понимается совокупность правовых, организационных и технических мер, принимаемых Обществом в целях обеспечения защиты персональных данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении таких сведений о субъекте персональных данных.
7.2. Общество обеспечивает безопасность персональных данных в соответствии с требованиями законодательства о персональных данных, в том числе:
 - предотвращение несанкционированного доступа к персональным данным;
 - предупреждение неблагоприятных последствий в результате нарушения порядка доступа к персональным данным, в том числе в случае получения или попытки получения третьим лицом несанкционированного доступа к персональным данным;
 - недопущение воздействия на технические средства обработки персональных данных, в результате которого нарушается или может быть нарушено их функционирование;
- незамедлительное восстановление персональных данных, уничтоженных или модифицированных вследствие несанкционированного доступа к ним.
Кроме того, Общество обеспечивает применение следующих организационных и технических мер для защиты персональных данных субъекта персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения, а также от иных неправомерных действий с ними:
- учет обрабатываемых в Обществе категорий и перечня персональных данных, категорий субъектов, персональные данные которых обрабатываются, сроков хранения и порядка уничтожения таких персональных данных;
- назначение Обществом лица, ответственного за организацию обработки персональных данных, и подразделения, ответственного за обеспечение безопасности информации (включая персональные данные);
- учет машинных носителей персональных данных и информационных систем Общества, в которых обрабатываются персональные данные;
- издание внутренних нормативных актов по вопросам обработки и защиты персональных данных, а также предотвращения и выявления нарушений законодательства о персональных данных, устранения последствий таких нарушений;
- ознакомление работников Общества, осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, Политикой и иными внутренними документами Общества по вопросам обработки персональных данных и (или) обучение указанных работников;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных;
- утверждение локальных актов, определяющих перечень лиц, которым доступ к персональным данным, обрабатываемым в информационных системах персональных данных, необходим для выполнения ими служебных (трудовых) обязанностей;
- осуществление регулярного внутреннего контроля/аудита соответствия обработки и обеспечения безопасности персональных данных действующему законодательству Российской Федерации в области обработки и обеспечения безопасности персональных данных;
- в рамках применимого уровня защищенности персональных данных обеспечение выполнения требований к защите персональных данных, а также применения организационных и технических мер по обеспечению безопасности персональных данных, установленных уполномоченными органами государственной власти.
7.3. Обеспечение безопасности персональных данных осуществляется Обществом в соответствии с уровнем защищенности персональных данных, определяемым Обществом исходя из уровней защищенности, утвержденных Правительством Российской Федерации.
7.4. Во внутренних документах, обязательных для исполнения всеми работниками Общества, а также в соответствующих соглашениях с партнерами, контрагентами и прочими третьими лицами в части, их касающейся, определяются:

• процедуры предоставления доступа к информации;
• процедуры внесения изменений в персональные данные с целью обеспечения их точности, достоверности и актуальности, в том числе по отношению к целям обработки;
• процедуры уничтожения либо блокирования персональных данных в случае необходимости выполнения такой процедуры;
• процедуры обработки обращений и субъектов персональных данных (их законных представителей) для случаев, предусмотренных Законом о персональных данных, в частности порядок подготовки информации о наличии персональных данных, относящихся к конкретному субъекту, информации, необходимой для предоставления возможности ознакомления субъектом (его законными представителями) с его персональными данными, а также процедуры обработки обращений об уточнении персональных данных, их блокировании или уничтожении, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для установленной цели обработки;
• процедуры обработки запроса уполномоченного органа по защите прав субъектов персональных данных;
• процедуры получения согласия субъекта персональных данных на обработку персональных данных;
• процедуры передачи персональных данных третьим лицам;
• процедуры работы с материальными носителями персональных данных.