ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

  1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с пунктом 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), иными нормативно-правовыми актами, регулирующими вопросы защиты и обработки персональных данных на территории Российской Федерации, и действует в отношении всех персональных данных (далее – Данные), которые ИП Мартынов Юрий Александрович (далее – Оператор, владелец сайта), может получить от субъектов персональных данных, в том числе, как владелец интернет-сайта  https://multiwork.org (далее – Сайт).

1.2. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Закона о персональных данных.

1.3. Изменение Политики

1.3.1. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.

  1. Термины используемые в настоящей Политике

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование;  удаление;  уничтожение.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку, информационных технологий и технических средств.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу

    1. Принципы и условия и порядок обработки персональных данных

3.1. Принципы обработки персональных данных:

обработка персональных данных осуществляется на законной и справедливой основе;

обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

обработке подлежат только персональные данные, которые отвечают целям их обработки;

содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;

при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;

хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.2. Правовое основание обработки персональных данных:

Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации, в том числе, если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

3.3. Порядок обработки персональных данных:

Оператор осуществляет автоматизированную, так и неавтоматизированную обработку персональных данных пользователей сайта;

к обработке персональных данных допускаются работники Оператора, ознакомленные с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;

не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;

передача персональных данных органам дознания и следствия, в Федеральную налоговую службу и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации;

обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется;

трансграничная передача персональных данных Оператором не осуществляется;

обработка биометрических персональных данных Оператором не осуществляется.

  1. Цели обработки, категории субъектов персональных данных, категории и перечень обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей или при наступлении иных законных оснований

4.1. Пользователи (посетители) Сайта.

Цель обработки персональных данных: информирование об услугах Оператора, предоставление доступа к сервисам сайта, в том числе: регистрация в личном кабинете, использование сервисов личного кабинета, оплата услуг Оператора, обращение в поддержку.

Категория обрабатываемых персональных данных: персональные данные.

Перечень обрабатываемых персональных данных: фамилия, имя, номер телефона, адрес электронной почты, сведения об образовании, сведения, собираемые посредством метрических программ.

Сроки обработки и хранения персональных данных: до отзыва согласия на обработку персональных данных; до достижения целей обработки персональных данных либо утраты цели обработки персональных данных, если иное не предусмотрено федеральным законом.

Способ обработки: автоматизированная обработка персональных данных.

Порядок уничтожения: по окончании сроков обработки персональных данных или в случае отзыва согласия на обработку персональных данных ответственным лицом оператора уничтожаются персональные данные субъекта персональных данных. Уничтожение персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации. Факт уничтожения ПД подтверждается документально актом об уничтожении носителей.

4.2. Лица, с которыми заключаются гражданско-правовые договоры, представители контрагентов

Цель обработки персональных данных: подготовка, заключение и исполнение гражданско-правового договора.

Категория обрабатываемых персональных данных: персональные данные.

Перечень обрабатываемых персональных данных: фамилия, имя, сведения об образовании,    номер телефона, адрес электронной почты.

Сроки обработки и хранения персональных данных: до отзыва согласия на обработку персональных данных; до достижения целей обработки персональных данных либо утраты цели обработки персональных данных, если иное не предусмотрено федеральным законом.

Способ обработки: смешанный (автоматизированная и неавтоматизированная обработка персональных данных).

Порядок уничтожения: по окончании сроков обработки персональных данных или в случае отзыва согласия на обработку персональных данных ответственным лицом оператора уничтожаются персональные данные субъекта персональных данных с составлением соответствующего акта. Уничтожение персональных данных на бумажных носителях осуществляется с помощью бумагорезательной машины путем измельчения документов на части, гарантирующего невозможность восстановления текста. Уничтожение персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации. Факт уничтожения ПД подтверждается документально актом об уничтожении носителей.

  1. Основные права субъектов персональных данных

Субъекты персональных данных имеют право на:

5.1. полную информацию об их персональных данных, обрабатываемых Оператором;

5.2. доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации;

5.3. уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

5.4. отзыв согласия на обработку персональных данных;

5.5. принятие предусмотренных законом мер по защите своих прав;

5.6. обжалование действия или бездействия Оператора, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;

5.7. осуществление иных прав, предусмотренных законодательством Российской Федерации.

  1. Отзыв согласия на обработку персональных данных.

Согласие на обработку (в том числе распространение) персональных данных может быть отозвано Пользователем, Клиентом, Работником или их представителями путем направления заявления Оператору в письменной форме на адрес электронной почты:  mail@multiwork.org или по почтовому  адресу : 400123, г. Волгоград, ул. Триумфальная, д. 18, кв. 42.

В случае отзыва согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия пользователя при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6 Закона о персональных данных.

  1. Действия, осуществляемые оператором персональных данных в ходе обработки персональных данных.

Оператор вправе осуществлять следующие действия: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); удаление; уничтожение.

  1. Хранение персональных данных

Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.

Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.

Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) в информационной системе персональных данных.

  1. Меры, принимаемые Оператором для обеспечения безопасности персональных данных, оценка вреда, который может быть причинен субъектам персональных данных

9.1. Меры, необходимые для обеспечения безопасности обрабатываемых оператором персональных данных, включают:

назначение лица, ответственного за организацию обработки персональных данных;

принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;

соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;

обнаружение фактов несанкционированного доступа к персональным данным;

проведение методической работы с сотрудниками Оператора, допущенными к работе с персональными данными;

получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;

обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях персональных данных, в специальных разделах;

обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;

обеспечение безопасности персональных данных при их передаче по открытым каналам связи;

определение актуальных угроз безопасности персональных данных при их обработке в информационной системе персональных данных и разработка мер и мероприятий по защите персональных данных;

установление индивидуальных паролей доступа работников в информационную систему в соответствии с производственными обязанностями;

применение сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами;

хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;

осуществление внутреннего контроля и аудита соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным нормативным актам Оператора;

иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.

9.2. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Оператором требований Закона о персональных данных, определяется в соответствии с Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27.10.2022 № 178.

  1. Обязанности оператора персональных данных

10.1. В случае выявления неправомерной обработки или неточности персональных данных, при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых или неточных персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки.

10.2. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

10.3. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

10.4. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

10.5. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

10.6. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

10.7. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 — 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Закона о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

10.8. В случае отсутствия возможности уничтожения персональных данных в вышеуказанные сроки, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

10.9. Уничтожение персональных данных подтверждается актом.

10.10.Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

10.11. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

10.12. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

10.13. Также Оператор обязан осуществить иные действия, предусмотренные действующим законодательством РФ.

  1. Конфиденциальность

11.1.Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

11.2. На сайте применяется технология идентификации, основанная на использовании файлов cookie.

11.3. При доступе Пользователя к Сайту на компьютер, используемый им для доступа, могут быть записаны файлы cookie, которые в дальнейшем будут использованы для автоматической авторизации Пользователя на Сайте, а также для сбора статистических данных, в частности о посещаемости ресурсов сайта.

11.4. Файлы cookie используются в целях функционирования сайта, проведения ретаргетинга и проведения статистических исследований и обзоров с использованием сервиса Яндекс.Метрика, иных сервисов.

11.5. В случае, если пользователь не согласен на обработку вышеуказанных данных, Пользователю необходимо изменить настройки браузера или покинуть сайт.

11.6. Оператор не продает или не раскрывает иным образом полученную информацию о Пользователе, за исключением случаев, предусмотренных в настоящей политике. Оператор может передать персональные данные Пользователя, при условии получения соответствующего согласия: поставщикам услуг, которые оказывают услуги в целях исполнения заключенных договоров. Указанные поставщики услуг не вправе использовать или раскрывать полученную информацию, за исключением случаев, когда это необходимо для исполнения требований законодательства.