Политика оператора в отношении обработки персональных данных

Положение об обработке персональных данных

Общее положение

Положение об обработке персональных данных разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 № 152-ФЗ «О персональных данных» и иными нормативными актами в области обработки и защиты персональных данных, действующими на территории РФ и определяет порядок обработки персональных данных принимаемый ООО «Центр Правосудия».

В настоящем Положении используются следующие основные понятия:

1. Персональные данные- любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

1.1. Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен Субъектом ПД путем дачи согласия на обработку персональных данных, разрешенных Субъектом ПД для распространения в порядке, предусмотренном законодательством РФ;

2. Оператор – ООО «Центр Правосудия» и/или уполномоченное физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПД, а также определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД;

3. Обработка ПД — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД;

4. Автоматизированная обработка ПД — обработка ПД с помощью средств вычислительной техники;

5. Распространение ПД — действия, направленные на раскрытие ПД неопределенному кругу лиц;

6. Предоставление ПД — действия, направленные на раскрытие ПД определенному лицу или определенному кругу лиц;

7. Блокирование ПД — временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения ПД);

8. Уничтожение ПД — действия, в результате которых становится невозможным восстановить содержание ПД в информационной системе ПД и (или) в результате которых уничтожаются материальные носители ПД;

9. Обезличивание ПД — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПД конкретному Субъекту ПД;

10. Информационная система ПД — совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств;

11. Трансграничная передача ПД — передача ПД на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Правовые основания обработки персональных данных

2.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:

• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;
• Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
• иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.

2.2. Правовым основанием обработки персональных данных также являются:

• устав ООО «Центр Правосудия»;
• договоры, заключаемые между Оператором и субъектами персональных данных;
• согласие субъектов персональных данных на обработку их персональных данных.

Цели

Данное положение разработано в целях регулирования обработки ПД в ООО «Центр Правосудия», выполнения требований законодательства РФ в отношении:

• сотрудников, клиентов, контрагентов и пользователей сайта ООО «Центр Правосудия»ru;
• ПД необходимых Оператору для осуществления своей деятельности;
• исполнение трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, в том числе: содействие работникам в трудоустройстве, получении образования и продвижении по службе, привлечение и отбор кандидатов на работу у Оператора, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, ведение кадрового и бухгалтерского учетов, заполнение и передача в уполномоченные органы требуемых форм отчетности, организация постановки на индивидуальный (персонифицированный) учет работников в системах обязательного пенсионного страхования и обязательного социального страхования;
• защиты прав и законных интересов Оператора в судах и иных органах;
• мероприятий, направленных на недопущение несанкционированного доступа и разглашения ПД, предотвращения и выявления нарушений законодательства РФ, устранения последствий таких нарушений. Кроме того, соблюдения требований трудового и налогового законодательства РФ.

Порядок и условия обработки персональных данных

4.1. Оператор осуществляет следующие операции с персональными данными:

— получение (сбор);

— запись;

— систематизация;

— накопление;

— хранение;

— уточнение (обновление, изменение);

— извлечение;

— использование;

— передача (распространение, предоставление доступа);

— обезличивание;

— блокирование;

— удаление;

— уничтожение.

4.1.1. Обработка ПД должна осуществляться с соблюдением следующих принципов:

— персональные данные должны обрабатываться на законной и справедливой основе;

— обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей, которым должны соответствовать содержание и объем обрабатываемых персональных данных. Обрабатывать можно только ПД, которые отвечают целям обработки;

— при обработке должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки. Организация должна принимать необходимые меры по удалению или уточнению неполных или неточных данных либо обеспечивать принятие таких мер;

— хранить персональные данные нужно в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок их хранения не установлен федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые ПД нужно уничтожить или обезличить по достижении целей обработки или если утрачена необходимость в достижении этих целей, при условии, что иное не предусмотрено законодательством.

Не допускается:

— обработка персональных данных, несовместимая с целями сбора ПД;

— объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

— избыточность обрабатываемых ПД по отношению к заявленным целям их обработки.

4.2. Получение персональных данных (документов, на которых они зафиксированы) осуществляется непосредственно от Субъекта ПД. В случае если предоставление соответствующих данных возможно только от третьих лиц, то Субъект ПД должен дать письменное согласие на это.

4.3. Оператор не имеет права требовать и получать персональные данные субъекта персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением предусмотренных законом случаев.

4.4. Обработка ПД может осуществляться только с его письменного согласия, за исключением тех случаев, что предусмотрены пп. 2 — 11 п. 1 ст. 6 Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных».

Согласие на обработку ПД должно быть конкретным, предметным, информированным, сознательным и однозначным.

4.5. ПД обрабатываются Оператором с использованием средств автоматизации и без использования средств автоматизации.

4.6. Персональные данные Субъектов ПД размещаются Оператором в следующих информационных системах:

— информационная система ПД работников Оператора;

— информационная система ПД лиц, не являющихся работниками Оператора, но персональные данные которых Оператор должен обрабатывать в соответствии с трудовым законодательством;

— информационная система ПД клиентов и контрагентов Оператора (физических лиц) и представителей клиентов и контрагентов Оператора (физических и юридических лиц).

4.7. Передача ПД осуществляется с учетом специфики конкретной информационной системы:

— в цифровой информационной системе (предназначенной для автоматизированной обработки ПД) передача данных осуществляется по защищенным каналам связи, а также при задействовании средств криптозащиты;

— в информационной системе на основе бумажных носителей передача данных осуществляется посредством перемещения или копирования содержимого данных носителей при участии работников Оператора, имеющих доступ к соответствующей информационной системе, который устанавливается отдельным локальным нормативным актом.

4.8. ООО «Центр Правосудия» осуществляет распространение ПД, разрешенных Субъектом ПД для распространения, то есть производит действия, направленные на их раскрытие неопределенному кругу лиц, с соблюдением запретов и условий, установленных ст. 10.1 Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных». Согласие на обработку ПД, разрешенных Субъектом ПД для распространения, оформляется отдельно от иных согласий такого Субъекта на обработку его ПД.

4.8.1. ООО «Центр Правосудия» осуществляет обработку специальной категории данных в рамках исполнения договоров с Субъектами ПД и своими работниками (соискателями), только с их согласия на обработку данной категории данных.

4.9. Хранение персональных данных.

4.9.1. Хранение персональных данных осуществляется с учетом специфики конкретной информационной системы:

— в цифровой информационной системе хранение данных осуществляется на ПК ИП Кочарян Армен Камоевич ИНН 231297082784 (ведение кадрового и бухгалтерского учета в соответствии с договором), на облачных серверах zp1c.ru;

— в цифровой информационной системе хранение данных осуществляется на серверах АО «амоЦРМ», 115093, г. Москва, вн. тер. г. муниципальный округ Замоскворечье, ул. Люсиновская, д. 38 (https://centrpravosudia.amocrm.ru.

— в информационной системе на основе бумажных носителей хранение данных осуществляется в помещениях ООО «Центр Правосудия» с соблюдением требований законодательства Российской Федерации.

4.9.2. ПД хранятся в течение срока, установленного законодательством Российской Федерации. Персональные данные, для которых не установлен такой срок, хранятся в течение 3-х лет.

4.9.3. ПД при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

4.9.4. При фиксации ПД на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы.

В целях обработки различных категорий ПД для каждой категории используется отдельный материальный носитель.

Организация обеспечивает раздельное хранение ПД (материальных носителей), обработка которых осуществляется в различных целях.

При хранении материальных носителей установлены следующие меры, обеспечивающие сохранность ПД и исключающие несанкционированный доступ к ним:

— установка сейфов с замками для хранения материальных носителей с персональными данными;

— установка замков на двери и решеток на окна в помещениях для хранения материальных носителей с персональными данными;

— допуск в помещения для хранения материальных носителей с персональными данными только тех лиц, которые входят в перечень лиц, имеющих доступ к персональным данным в целях выполнения ими их трудовых (служебных) обязанностей;

— организация круглосуточной охраны помещений для хранения материальных носителей с персональными данными (договор об оказании охранных услуг с ООО ЧОО «Кубань-Безопасность», лицензия на осуществление охранной деятельности Л056-00106-23/00014792).

4.9.5. По истечению срока хранения ПД, либо в иных случаях осуществляется уничтожение ПД, которое подтверждается следующим образом:

— составляется акт об уничтожении персональных данных, если они обрабатывались без использования средств автоматизации;

— составляется акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных, если ПД обрабатывались с использования средств автоматизации. Данные документы храниться вместе;

— составляется акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных, если обработка ПД осуществлялась со средствами автоматизации и без них. Данные документы храниться вместе.

4.9.6. Акт об уничтожении персональных данных и выгрузка из журнала регистрации событий, хранятся в течении 3-х лет после уничтожения ПД.

4.10. При обработке персональных данных в информационных системах Оператор соблюдает Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные Постановлением Правительства Российской Федерации от 01.11.2012 № 1119, и Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

4.11. При обработке персональных данных без использования средств автоматизации Оператор соблюдает требования, установленные Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства Российской Федерации от 15.09.2008 № 687.

4.12. Оператор обеспечивает взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

4.13. Актуализация (уточнение) персональных данных.

4.13.1. В случае подтверждения факта неточности ПД Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав Субъектов персональных данных, или иных необходимых документов обязана уточнить персональные данные в течение 7 рабочих дней со дня представления таких сведений и снять блокирование ПД.

4.13.2. Актуализация (уточнение) ПД осуществляется в следующем порядке: направляется запрос Субъекту ПД или его представителю для предоставления актуальных ПД; получаются из открытых источников в информационно-телекоммуникационной сети Интернет

4.14. Блокирование персональных данных.

4.14.1. Организация должна осуществить блокирование ПД  в следующих случаях и в следующие сроки:

— если выявлена неправомерная обработка ПД при обращении Субъекта персональных данных или его представителя либо по запросу Субъекта ПД или его представителя либо уполномоченного органа — с момента такого обращения или получения указанного запроса на период проверки;

— если выявлены неточные ПД при обращении Субъекта ПД или его представителя либо по их запросу или по запросу уполномоченного органа — с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПД не нарушает права и законные интересы Субъекта персональных данных или третьих лиц;

— если отсутствует возможность уничтожения ПД в течение срока, указанного в ч. ч. 3 — 5.1 ст. 21 Федерального закона 27 июля 2006 № 152-ФЗ «О персональных данных», — до момента уничтожения.

4.15. ООО «Центр Правосудия» должна прекратить обработку персональных данных в следующих случаях:

— если устранены причины, вследствие которых осуществлялась обработка специальных категорий персональных данных в случаях, предусмотренных ч. 2 и ч. 3 ст. 10 Федерального закона 27 июля 2006 № 152-ФЗ «О персональных данных»;

— если выявлена неправомерная обработка персональных данных, осуществляемая Организацией, — в срок не более 3 рабочих дней с даты этого выявления;

— если достигнуты цели обработки персональных данных;

— если Субъект ПД отозвал согласие на обработку его персональных данных;

— при обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.

4.16. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами Российской Федерации, не допускаются, за исключением случаев, указанных в Законе о персональных данных.

4.17. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

4.18. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

4.19. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:

— в течение 24 часов — уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;

— в течение 72 часов — уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).

Процедуры, направленные на выявление и предотвращение нарушений законодательства в сфере персональных данных.

5.1. Для выявления и предотвращения нарушений, предусмотренных законодательством в сфере персональных данных, Оператор использует следующие процедуры:

— осуществление внутреннего контроля (аудита) соответствия обработки персональных данных требованиям к защите персональных данных;

— оценку вреда, который может быть причинен субъектам персональных данных;

— ознакомление работников, непосредственно осуществляющих обработку персональных данных, с законодательством о персональных данных, в том числе с требованиями к защите персональных данных и настоящим Положением;

— ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;

— осуществление обработки персональных данных в соответствии с принципами и условиями обработки персональных данных, установленными законодательством в области персональных данных;

— обеспечение недопустимости осуществления обработки персональных данных, не совместимых с целями сбора персональных данных;

— обеспечение недопустимости осуществления объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;

— обеспечение соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки, обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

— обеспечение при обработке персональных данных точности персональных данных, их достаточности и актуальности по отношению к целям обработки персональных данных.

5.2. Порядок оценки вреда, который может быть причинен субъектам персональных данных.

5.2.1. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства о персональных данных, осуществляется ответственным за организацию обработки персональных данных либо комиссией, образуемой Оператором.

5.2.2. Оператор для целей оценки вреда определяет одну из степеней вреда, который может быть причинен субъекту персональных данных в случае нарушения законодательства о персональных данных:

5.2.2.1. Высокую в случаях:

— обработки сведений, характеризующих физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Оператором для установления личности субъекта персональных данных, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки биометрических персональных данных;

— обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки специальных категорий персональных данных;

— обработки персональных данных несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является несовершеннолетний, а также для заключения договора по инициативе несовершеннолетнего или договора, по которому несовершеннолетний будет являться выгодоприобретателем или поручителем в случаях, не предусмотренных законодательством Российской Федерации;

— обезличивания персональных данных, в том числе с целью проведения оценочных (скоринговых) исследований, оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также иных исследований, не предусмотренных п. 9 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

— поручения иностранному лицу (иностранным лицам) осуществлять обработку персональных данных граждан Российской Федерации;

— сбора персональных данных с использованием баз данных, находящихся за пределами Российской Федерации.

5.6.2.2.2. Среднюю в случаях:

— распространения персональных данных на официальном сайте Оператора в Интернете, а равно предоставления персональных данных неограниченному кругу лиц, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия такой обработки персональных данных;

— обработки персональных данных в дополнительных целях, отличных от первоначальной цели сбора;

— продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием баз персональных данных, владельцем которых является иной оператор;

— получения согласия на обработку персональных данных посредством реализации на официальном сайте в Интернете функционала, не предполагающего дальнейшей идентификации и/или аутентификации субъекта персональных данных;

— осуществления деятельности по обработке персональных данных, предполагающей получение согласия на обработку персональных данных, содержащего положения о предоставлении права осуществлять обработку персональных данных определенному и/или неопределенному кругу лиц в целях, не совместимых между собой.

5.6.2.2.3. Низкую в случаях:

— ведения общедоступных источников персональных данных, сформированных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

— назначения в качестве ответственного за обработку персональных данных лица, не являющегося штатным работником Оператора.

5.6.2.3. Результаты оценки вреда оформляются актом оценки вреда.

5.6.2.4. Акт оценки вреда должен содержать:

— наименование или фамилию, имя, отчество (при наличии) и адрес Оператора;

— дату издания акта оценки вреда;

— дату проведения оценки вреда;

— фамилию, имя, отчество (при наличии), должность лиц (лица) (при наличии), проводивших оценку вреда, а также их (его) подпись;

— степень вреда, которая может быть причинена субъекту персональных данных.

5.6.2.5. Акт оценки вреда в электронной форме, подписанный в соответствии с федеральным законом и локальными нормативными актами Оператора электронной подписью, признается электронным документом, равнозначным акту оценки вреда на бумажном носителе, подписанному собственноручной подписью.

5.6.2.6. Если по итогам проведенной оценки вреда установлено, что в рамках деятельности по обработке персональных данных субъекту персональных данных могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда.

Организация доступа к персональным данным

6.1. Доступ к ПД, не требующий подтверждения и не подлежащий ограничению, предоставляется следующим должностным лицам ООО «Центр Правосудия»:

— Генеральный директор;

— работникам, замещающим должности: коммерческий директор, руководителя юридического отдела в г. Москве, юрист, помощник юриста, специалист в области подготовки и развития персонала. 

Ответственный за обработку персональных данных в ООО «Центр Правосудия» несет личную ответственность за организацию обработки персональных данных, в том числе получение, хранение, передачу и уничтожение персональных данных в ООО «Центр Правосудия».

6.2. Работники Оператора и другие лица, имеющие доступ к ПД, обязаны:

— осуществлять операции с ПД при соблюдении норм, установленных настоящим Положением, а также действующим законодательством Российской Федерации;

— информировать своего непосредственного руководителя и руководителя Организации о нештатных ситуациях, связанных с операциями с персональными данными;

— обеспечивать конфиденциальность операций с ПД;

— обеспечивать сохранность и неизменность ПД в случае, если выполняемая задача не предполагает их корректировки или дополнения.

6.3. Работники Оператора, имеющие доступ к ПД, имеют право:

— на приобретение полномочий, необходимых в целях осуществления операций с ПД;

— получение консультационной поддержки со стороны руководства и других компетентных работников в части осуществления операций с ПД;

— выдачу распоряжений и направление предписаний работникам, передающим ПД Оператора, связанных с необходимостью предоставления дополнительной или уточняющей информации в целях обеспечения корректного осуществления операций с персональными данными.

Права и обязанности субъекта персональных данных

7.1. Субъект персональных данных имеет право:

• получать информацию, касающееся обработки его ПД;
• требовать уточнения, блокирования или уничтожения своих ПД;
• отозвать согласие на обработку ПД;
• обжаловать действия Оператора в уполномоченные органы или в суд;
• на получение сведений о наименовании и контактных данных лица, осуществляющего обработку ПД по поручению Оператора, если такая обработка поручена;
• на получение иных сведений, предусмотренных Федеральным законом от 27 июля 2006 № 152-ФЗ «О персональных данных» и иными нормами в области обработки и защиты персональных данных, действующими на территории РФ;
• иные права предусмотренные законодательством РФ.

7.2. Указанные сведения предоставляются Субъекту ПД, в них не должны содержаться ПД, относящиеся к иным Субъектам персональных данных, за исключением случаев, когда имеются основания раскрытия таких персональных данных.

7.3. Запросы Субъектов ПД рассматриваются оператором в течение 30 дней с момента поступления обращения в письменной или электронной форме, (заверенной электронной цифровой подписью).

Права и обязанности Оператора

8.1. Оператор самостоятельно принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 № 152-ФЗ «О персональных данных» и иными нормами в области обработки и защиты персональных данных, действующими на территории РФ.

8.2. Оператор в праве запрашивать у Субъекта ПД достоверные сведения и документы содержащие персональные данные

8.3. Оператор наделен правами, предусмотренными Федеральным законом от 27 июля 2006 № 152-ФЗ «О персональных данных» и иными нормами в области обработки и защиты персональных данных, действующими на территории РФ.

8.4. Оператор обязан исполнять требования, регламентированные Федеральным законом от 27 июля 2006 № 152-ФЗ «О персональных данных» и иными нормами в области обработки и защиты персональных данных, действующими на территории РФ.

8.5. При сборе персональных данных Оператор обязан по запросу Субъекта ПД предоставить информацию, предусмотренную Федеральным законом от 27 июля 2006 № 152-ФЗ «О персональных данных».

8.6. Оператор для обработки ПД руководствуется: уставными документами организации; законодательством РФ, регламентирующим сферу защиты ПД; заключенным договором на оказание юридических услуг; согласием Субъекта ПД на обработку ПД (при обработке в целях, не связанных с договором, а также при обработке специальной категории ПД).

8.7. В целях исполнения требований, предусмотренных Федеральным законом от 27 июля 2006 № 152-ФЗ «О персональных данных» и иными нормами в области обработки и защиты персональных данных, действующими на территории РФ приказом № ___ от __.09.2025 назначен ответственный за организацию обработки персональных данных.

Категории субъектов и обрабатываемые данные

С помощью сайтов интернет-статистики, на сайте ООО «Центр Правосудия», осуществляется сбор и обработка обезличенных данных о посетителях сайта (в том числе файлы cookie).

Персональные данные, разрешенные Субъектом ПД для распространения обрабатываются в соответствии с требованиями, регламентированными Федеральным законом от 27 июля 2006 № 152-ФЗ «О персональных данных» и иными нормами в области обработки и защиты персональных данных, действующими на территории РФ.

Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Оператором для установления личности Субъекта ПД, могут обрабатываться только при наличии согласия в письменной форме Субъекта персональных данных.

Передача персональных данных третьим лицам

10.1. Передача персональных данных третьим лицам допускается только в следующих случаях:

• с письменного согласия Субъекта ПД;
• в рамках исполнения договора с Субъектом ПД;
• по требованию органов власти, суда, прокуратуры — в порядке, установленном законодательством РФ;
• при передаче поручения другому работнику, юристу или адвокату — с соблюдением конфиденциальности.

10.2. При передаче данных третьим лицам заключается договор поручения или соглашение о конфиденциальности, в котором определяются условия обработки и ответственность.

10.3. Оператор осуществляет распространение ПД, то есть осуществляет действия по распространению указанных данных неограниченному кругу лиц, только с согласия Субъекта ПД и согласованном объеме и соблюдением требований, регламентированных Федеральным законом от 27 июля 2006 № 152-ФЗ «О персональных данных» и иными нормами в области обработки и защиты персональных данных, действующими на территории РФ.

Трансграничная передача персональных данных

11.1. Оператор может осуществлять трансграничную передачу персональных данных с соблюдением требований, регламентированных Федеральным законом от 27 июля 2006 № 152-ФЗ «О персональных данных» и иными нормами в области обработки и защиты персональных данных, действующими на территории РФ, а также международными договорами РФ.

Защита персональных данных

12.1. ООО «Центр Правосудия» при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в  их отношении.

Во исполненные требований, регламентированных Федеральным законом от 27 июля 2006 № 152-ФЗ «О персональных данных» и иными нормами в области обработки и защиты персональных данных, действующими на территории РФ, Оператором определены следующие угрозы безопасности персональных данных:

— угроза несанкционированного доступа к персональным данным лицами, обладающими полномочиями в информационной системе ПД, в том числе в ходе создания, эксплуатации, технического обслуживания и (или) ремонта, модернизации, снятия с эксплуатации информационной системы персональных данных;

— угроза воздействия вредоносного кода, внешнего по отношению к информационной системе персональных данных;

— угроза использования методов социального инжиниринга к лицам, обладающим полномочиями в информационной системе персональных данных;

— угроза несанкционированного доступа к отчуждаемым носителям персональных данных;

— угроза утраты (потери) носителей персональных данных, включая переносные персональные компьютеры пользователей информационной системы ПД;

— угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе ПД, с использованием: уязвимостей в организации защиты ПД; уязвимостей в программном обеспечении информационной системы ПД; в обеспечении защиты сетевого взаимодействия и каналов передачи данных; уязвимостей в обеспечении защиты вычислительных сетей информационной системы ПД; уязвимостей, вызванных несоблюдением требований по эксплуатации средств криптографической защиты информации.

Угрозами безопасности персональных данных, разрешенных Субъектом ПД для их распространения, актуальными при их обработке в информационных системах ПД, являются в том числе угрозы нарушения целостности (подмены) и нарушения доступности ПД, разрешенных Субъектом ПД для их распространения.

В соответствии с критериями, утвержденными Постановлением Правительства Российской Федерации от 1 ноября 2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Оператору необходимо обеспечение 4-го уровня защищенности персональных данных при их обработке в информационной системе.

В связи с изложенным, для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

— организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

— обеспечение сохранности носителей персональных данных;

— утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

— использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Для выполнения указанных требований Оператор определяет состав и содержание мер по обеспечению безопасности персональных данных на основе приказа ФСТЭК России от 18 февраля 2013 г. N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

12.2. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

— осуществлять внутренний контроль за соблюдением Оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

— доводить до сведения работников Оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

— организовывать прием и обработку обращений и запросов Субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

Ответственность за нарушение требований по защите персональных данных

13.1 Лица, виновные в нарушении требований по защите персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.

13.2. Работники Оператора, допустившие разглашение персональных данных субъекта персональных данных, могут быть уволены по инициативе работодателя по пп. «в» п. 6 ч. 1 ст. 81 Трудового кодекса Российской Федерации. Увольнение не исключает иных форм ответственности, предусмотренной действующим законодательством.

13.3. Моральный вред, причиненный Субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных законодательством Российской Федерации, а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

13.4. Генеральный директор Оператора за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника, несет административную ответственность согласно ст. 5.27 и 5.39 КоАП РФ, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные работника.

Заключительное положение

14.1. Положение об обработке персональных данных в ООО «Центр Правосудия» вступает в силу с даты его подписания.

14.2. Оператор вправе вносить корректировки, изменения и дополнения в настоящее Положение, в соответствии с требованиями, регламентированными Федеральным законом от 27 июля 2006 № 152-ФЗ «О персональных данных» и иными нормами в области обработки и защиты персональных данных, действующими на территории РФ.

14.3. Во исполнение с требований, регламентированных Федеральным законом от 27 июля 2006 № 152-ФЗ «О персональных данных» и иными нормами в области обработки и защиты персональных данных, действующими на территории РФ ООО «Центр Правосудия» осуществляет разработку и внедрение дополнительных локальных нормативных актов.